Malvér pre sépiu

Nový malvér známy ako Cuttlefish sa zameriava na smerovače pre malé kancelárie a domáce kancelárie (SOHO), ktorého cieľom je diskrétne monitorovať všetok prenos prechádzajúci týmito zariadeniami a zhromažďovať autentifikačné údaje z požiadaviek HTTP GET a POST.

Tento konkrétny malvér je vytvorený modulárnym spôsobom a primárne sa zameriava na krádež autentifikačných informácií z webových požiadaviek prechádzajúcich cez smerovač v lokálnej sieti (LAN). Okrem toho má schopnosť vykonávať DNS a HTTP únosy pre pripojenia v rámci súkromného IP priestoru, zvyčajne spojeného s internou sieťovou komunikáciou.

Existujú náznaky zo zdrojového kódu, ktoré naznačujú podobnosti s predtým identifikovaným klastrom aktivít známym ako HiatusRAT , hoci doteraz neboli pozorované žiadne prípady zdieľanej viktimológie. Zdá sa, že tieto dve operácie sú aktívne súčasne.

Vektor infekcie pre kompromitáciu zariadení s malvérom sépie

Sépia je aktívna minimálne od 27. júla 2023, pričom jej najnovšia kampaň trvá od októbra 2023 do apríla 2024. Počas tohto obdobia sa primárne zamerala na 600 jedinečných IP adries prepojených s dvoma tureckými poskytovateľmi telekomunikačných služieb.

Špecifická metóda použitá na počiatočný prístup ku kompromitácii sieťového zariadenia zostáva nejasná. Keď sa však vytvorí základ, nasadí sa bash skript na zhromažďovanie údajov hostiteľa, vrátane/atď., obsahu, spustených procesov, aktívnych pripojení a pripojení. Tieto informácie sa potom odošlú do domény kontrolovanej aktérom hrozby („kkthreas.com/upload“). Následne stiahne a spustí užitočné zaťaženie Cuttlefish z dedikovaného servera na základe špecifickej architektúry smerovača (napr. Arm, mips32 a mips64, i386, i386_i686, i386_x64 atď.).

Malvér sépie môže ohroziť prihlasovacie údaje kritických obetí

Výnimočnou vlastnosťou tohto malvéru je jeho pasívna schopnosť sniffovania navrhnutá špeciálne na zacielenie autentifikačných údajov z verejných cloudových služieb, ako sú Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare a BitBucket, dosiahnuté prostredníctvom rozšíreného filtra Berkeley Packet Filter (eBPF). ).

Malvér funguje na základe sady pravidiel, ktoré ho nasmerujú buď k únosu prevádzky viazanej na súkromnú IP adresu, alebo k aktivácii funkcie sniffer pre prevádzku smerujúcu na verejnú IP, čo umožňuje odcudzenie poverení za špecifických podmienok. Pravidlá únosu sa získavajú a aktualizujú zo servera Command-and-Control (C2) vytvoreného na tento účel so zabezpečeným pripojením pomocou vstavaného certifikátu RSA.

Okrem toho môže malvér fungovať ako proxy alebo VPN, čo umožňuje prenos zachytených údajov cez kompromitovaný smerovač a uľahčuje aktérom hrozby používať zhromaždené poverenia na prístup k cieleným zdrojom.

Výskumníci popisujú Cuttlefish ako pokročilú formu pasívneho odpočúvacieho malvéru pre okrajové sieťové zariadenia, ktorý kombinuje rôzne možnosti, ako je manipulácia s trasami, únosy pripojení a pasívne sniffovanie. Pomocou zneužitého autentifikačného materiálu získajú aktéri hrozieb nielen prístup ku cloudovým zdrojom spojeným s cieľom, ale tiež si vytvoria oporu v rámci tohto cloudového ekosystému.