Малвер за сипе

Нови злонамерни софтвер познат као Цуттлефисх фокусира се на рутере за мале канцеларије и кућне канцеларије (СОХО), са циљем да дискретно надгледа сав саобраћај који пролази кроз ове уређаје и прикупља податке о аутентификацији из ХТТП ГЕТ и ПОСТ захтева.

Овај конкретан малвер је изграђен на модуларан начин, првенствено циљајући на крађу информација о аутентификацији из веб захтева који пролазе кроз рутер на локалној мрежи (ЛАН). Поред тога, поседује могућност да изврши ДНС и ХТТП отмицу за везе унутар приватног ИП простора, обично повезане са интерном мрежном комуникацијом.

Постоје индикације из изворног кода које сугеришу сличности са претходно идентификованим кластером активности познатим као ХиатусРАТ , иако до сада нису примећени примери заједничке виктимологије. Чини се да су ове две операције истовремено активне.

Вектор инфекције за компромитоване уређаје са малвером Цуттлефисх

Сипа је била активна најмање од 27. јула 2023. године, а најновија кампања је трајала од октобра 2023. до априла 2024. Током овог периода, првенствено је циљала 600 јединствених ИП адреса повезаних са два турска телеком провајдера.

Конкретан метод који се користи за почетни приступ компромитованој мрежној опреми остаје нејасан. Међутим, када се успостави упориште, басх скрипта се примењује за прикупљање података о хосту, укључујући/итд., садржаје, покренуте процесе, активне везе и монтирања. Ове информације се затим шаљу на домен који контролише актер претње ('кктхреас.цом/уплоад'). Он затим преузима и извршава корисни терет Сипе са наменског сервера на основу специфичне архитектуре рутера (нпр. Арм, мипс32 и мипс64, и386, и386_и686, и386_к64, итд.).

Малвер Сипе може да угрози акредитиве кључних жртава

Изузетна карактеристика овог малвера је његова способност пасивног њушкања дизајнирана посебно за циљање података за аутентификацију из јавних услуга у облаку као што су Алицлоуд, Амазон Веб Сервицес (АВС), Дигитал Оцеан, ЦлоудФларе и БитБуцкет, постигнута кроз проширени филтер Беркелеи пакета (еБПФ ).

Малвер функционише на основу скупа правила који га усмерава да отме саобраћај везан за приватну ИП адресу или активира функцију њушкања за саобраћај који иде ка јавној ИП адреси, омогућавајући крађу акредитива под одређеним условима. Правила за отмицу се преузимају и ажурирају са сервера за команду и контролу (Ц2) који је успостављен за ову сврху, са безбедном везом помоћу уграђеног РСА сертификата.

Штавише, злонамерни софтвер може да делује као прокси или ВПН, омогућавајући да се ухваћени подаци пренесу преко компромитованог рутера и олакшавајући актерима претњи да користе прикупљене акредитиве за приступ циљаним ресурсима.

Истраживачи описују Сипу као напредни облик пасивног прислушкивања малвера за опрему за умрежавање на ивици, комбинујући различите могућности као што су манипулација рутама, отмица везе и пасивно њушкање. Са неприсвојеним материјалом за аутентификацију, актери претњи не само да добијају приступ ресурсима у облаку повезаним са метом, већ и успостављају упориште унутар тог екосистема облака.