Зловмисне програмне забезпечення Cuttlefish

Нове зловмисне програмне забезпечення, відоме як Cuttlefish, зосереджується на маршрутизаторах для малих і домашніх офісів (SOHO), щоб непомітно відстежувати весь трафік, що проходить через ці пристрої, і збирати дані автентифікації з запитів HTTP GET і POST.

Це конкретне зловмисне програмне забезпечення побудовано за модульним принципом, головним чином спрямоване на крадіжку інформації автентифікації з веб-запитів, що проходять через маршрутизатор у локальній мережі (LAN). Крім того, він має можливість виконувати викрадення DNS і HTTP для з’єднань у приватному IP-просторі, зазвичай пов’язаному з внутрішньою мережею.

Існують ознаки вихідного коду, які свідчать про схожість із раніше ідентифікованим кластером активності, відомим як HiatusRAT , хоча жодних випадків спільної віктимології наразі не спостерігалося. Схоже, що ці дві операції активні одночасно.

Вектор зараження для компрометації пристроїв зловмисною програмою Cuttlefish

Каракатиця була активна щонайменше з 27 липня 2023 року, а її остання кампанія охоплювала період з жовтня 2023 року по квітень 2024 року. Протягом цього періоду вона в основному була націлена на 600 унікальних IP-адрес, пов’язаних із двома турецькими операторами зв’язку.

Конкретний метод, використаний для початкового доступу до скомпрометованого мережевого обладнання, залишається неясним. Однак, як тільки точку опори встановлено, сценарій bash розгортається для збору даних хосту, включаючи/і т.д., вміст, запущені процеси, активні підключення та монтування. Потім ця інформація надсилається до домену, контрольованого загрозою ('kkthreas.com/upload'). Згодом він завантажує та виконує корисне навантаження Cuttlefish із виділеного сервера на основі конкретної архітектури маршрутизатора (наприклад, Arm, mips32 та mips64, i386, i386_i686, i386_x64 тощо).

Зловмисне програмне забезпечення Cuttlefish може скомпрометувати облікові дані важливих жертв

Особливістю цього зловмисного програмного забезпечення є його здатність пасивного аналізу, розроблена спеціально для націлювання на дані автентифікації з публічних хмарних служб, таких як Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare і BitBucket, що досягається за допомогою розширеного фільтра пакетів Берклі (eBPF). ).

Зловмисне програмне забезпечення працює на основі набору правил, який спрямовує його або на захоплення трафіку, спрямованого на приватну IP-адресу, або на активацію функції сніфера для трафіку, що спрямовується на загальнодоступну IP-адресу, уможливлюючи крадіжку облікових даних за певних умов. Правила викрадення витягуються та оновлюються з сервера командування та керування (C2), створеного для цієї мети, з безпечним з’єднанням за допомогою вбудованого сертифіката RSA.

Крім того, зловмисне програмне забезпечення може діяти як проксі-сервер або VPN, дозволяючи передавати отримані дані через скомпрометований маршрутизатор і допомагаючи суб’єктам загрози використовувати зібрані облікові дані для доступу до цільових ресурсів.

Дослідники описують Cuttlefish як вдосконалену форму шкідливого програмного забезпечення для пасивного підслуховування для периферійного мережевого обладнання, що поєднує в собі різні можливості, такі як маніпуляції маршрутами, викрадення з’єднань і пасивне перехоплення. За допомогою незаконно привласненого матеріалу автентифікації суб’єкти загрози не тільки отримують доступ до хмарних ресурсів, пов’язаних із ціллю, але й закріплюються в цій хмарній екосистемі.