கட்ஃபிஷ் மால்வேர்

Cutttlefish எனப்படும் புதிய மால்வேர் சிறிய அலுவலகம் மற்றும் வீட்டு அலுவலகம் (SOHO) ரவுட்டர்களில் கவனம் செலுத்துகிறது, இந்தச் சாதனங்கள் வழியாகச் செல்லும் அனைத்து போக்குவரத்தையும் விவேகத்துடன் கண்காணிக்கவும், HTTP GET மற்றும் POST கோரிக்கைகளிலிருந்து அங்கீகாரத் தரவைச் சேகரிப்பதையும் நோக்கமாகக் கொண்டுள்ளது.

இந்த குறிப்பிட்ட தீம்பொருள் ஒரு மட்டு பாணியில் கட்டமைக்கப்பட்டுள்ளது, முதன்மையாக லோக்கல் ஏரியா நெட்வொர்க்கில் (LAN) திசைவி வழியாக செல்லும் வலை கோரிக்கைகளிலிருந்து அங்கீகாரத் தகவலை திருடுவதை இலக்காகக் கொண்டுள்ளது. கூடுதலாக, இது DNS மற்றும் HTTP ஹைஜாக்கிங் செய்யும் திறனை தனியார் IP இடத்தில் உள்ள இணைப்புகளுக்குக் கொண்டுள்ளது, பொதுவாக உள் நெட்வொர்க் தகவல்தொடர்புகளுடன் தொடர்புடையது.

HiatusRAT எனப்படும் முன்னர் அடையாளம் காணப்பட்ட செயல்பாட்டுக் குழுவுடன் ஒற்றுமைகள் இருப்பதைப் பரிந்துரைக்கும் மூலக் குறியீட்டிலிருந்து குறிப்புகள் உள்ளன, இருப்பினும் பகிரப்பட்ட பலிவாங்கல் நிகழ்வுகள் இதுவரை காணப்படவில்லை. இந்த இரண்டு செயல்பாடுகளும் ஒரே நேரத்தில் செயல்படுவதாகத் தெரிகிறது.

கட்ஃபிஷ் மால்வேருடன் சாதனங்களை சமரசம் செய்வதற்கான தொற்று திசையன்

Cutttlefish குறைந்தபட்சம் ஜூலை 27, 2023 முதல் செயலில் உள்ளது, அதன் சமீபத்திய பிரச்சாரம் அக்டோபர் 2023 முதல் ஏப்ரல் 2024 வரை நீடிக்கும். இந்த காலகட்டத்தில், இது முதன்மையாக இரண்டு துருக்கிய தொலைத்தொடர்பு வழங்குநர்களுடன் இணைக்கப்பட்ட 600 தனிப்பட்ட IP முகவரிகளை இலக்காகக் கொண்டது.

நெட்வொர்க்கிங் உபகரணங்களை சமரசம் செய்வதற்கான ஆரம்ப அணுகலுக்குப் பயன்படுத்தப்படும் குறிப்பிட்ட முறை தெளிவாக இல்லை. எவ்வாறாயினும், ஒரு காலடி நிறுவப்பட்டதும், உள்ளடக்கங்கள், இயங்கும் செயல்முறைகள், செயலில் உள்ள இணைப்புகள் மற்றும் மவுண்ட்கள் உட்பட, ஹோஸ்ட் தரவைச் சேகரிக்க ஒரு பாஷ் ஸ்கிரிப்ட் பயன்படுத்தப்படுகிறது. இந்தத் தகவல் அச்சுறுத்தல் நடிகரால் கட்டுப்படுத்தப்படும் டொமைனுக்கு அனுப்பப்படும் ('kkthreas.com/upload'). குறிப்பிட்ட திசைவி கட்டமைப்பின் அடிப்படையில் (எ.கா., Arm, mips32, மற்றும் mips64, i386, i386_i686, i386_x64, முதலியன) பிரத்யேக சர்வரில் இருந்து கட்ஃபிஷ் பேலோடை அது பின்னர் பதிவிறக்கம் செய்து செயல்படுத்துகிறது.

கட்ஃபிஷ் மால்வேர் முக்கியமான பாதிக்கப்பட்டவர்களின் நற்சான்றிதழ்களை சமரசம் செய்யலாம்

இந்த தீம்பொருளின் தனிச்சிறப்பு அம்சம் என்னவென்றால், அலிக்லவுட், அமேசான் வெப் சர்வீசஸ் (AWS), டிஜிட்டல் ஓஷன், CloudFlare மற்றும் BitBucket போன்ற பொது கிளவுட் சேவைகளின் அங்கீகாரத் தரவை குறிவைக்க வடிவமைக்கப்பட்ட அதன் செயலற்ற ஸ்னிஃபிங் திறன், நீட்டிக்கப்பட்ட பெர்க்லி பாக்கெட் வடிகட்டி (eBPF) மூலம் அடையப்பட்டது. )

தீம்பொருள் விதிமுறைகளின் அடிப்படையில் இயங்குகிறது, இது ஒரு தனிப்பட்ட ஐபி முகவரிக்கான போக்குவரத்தை கடத்த அல்லது பொது ஐபிக்கு செல்லும் போக்குவரத்திற்கான ஸ்னிஃபர் செயல்பாட்டை செயல்படுத்துகிறது, இது குறிப்பிட்ட நிபந்தனைகளின் கீழ் நற்சான்றிதழ்களை திருடுவதை செயல்படுத்துகிறது. இந்த நோக்கத்திற்காக நிறுவப்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திலிருந்து கடத்தல் விதிகள் மீட்டெடுக்கப்பட்டு புதுப்பிக்கப்படுகின்றன, உட்பொதிக்கப்பட்ட RSA சான்றிதழைப் பயன்படுத்தி பாதுகாப்பான இணைப்புடன்.

மேலும், தீம்பொருள் ஒரு ப்ராக்ஸி அல்லது VPN ஆக செயல்படலாம், கைப்பற்றப்பட்ட தரவை சமரசம் செய்யப்பட்ட திசைவி மூலம் அனுப்ப அனுமதிக்கிறது மற்றும் இலக்கு ஆதாரங்களை அணுக சேகரிக்கப்பட்ட நற்சான்றிதழ்களைப் பயன்படுத்துவதில் அச்சுறுத்தல் நடிகர்களுக்கு உதவுகிறது.

பாதை கையாளுதல், இணைப்பு கடத்தல் மற்றும் செயலற்ற மோப்பம் போன்ற பல்வேறு திறன்களை ஒருங்கிணைத்து, விளிம்பு நெட்வொர்க்கிங் கருவிகளுக்கான செயலற்ற ஒட்டுக்கேட்கும் தீம்பொருளின் மேம்பட்ட வடிவமாக கட்டில்ஃபிஷை ஆராய்ச்சியாளர்கள் விவரிக்கின்றனர். தவறாகப் பயன்படுத்தப்பட்ட அங்கீகாரப் பொருள் மூலம், அச்சுறுத்தல் நடிகர்கள் இலக்குடன் தொடர்புடைய கிளவுட் ஆதாரங்களுக்கான அணுகலைப் பெறுவது மட்டுமல்லாமல், அந்த கிளவுட் சுற்றுச்சூழல் அமைப்பிற்குள் காலூன்றவும் செய்கிறார்கள்.