Phần mềm độc hại mực nang

Một phần mềm độc hại mới có tên Cuttlefish tập trung vào các bộ định tuyến văn phòng nhỏ và văn phòng gia đình (SOHO), nhằm mục đích giám sát kín đáo tất cả lưu lượng truy cập đi qua các thiết bị này và thu thập dữ liệu xác thực từ các yêu cầu HTTP GET và POST.

Phần mềm độc hại cụ thể này được xây dựng theo kiểu mô-đun, chủ yếu nhắm mục tiêu đánh cắp thông tin xác thực từ các yêu cầu Web đi qua bộ định tuyến trên Mạng cục bộ (LAN). Ngoài ra, nó còn có khả năng thực hiện chiếm quyền điều khiển DNS và HTTP đối với các kết nối trong không gian IP riêng tư, thường được liên kết với truyền thông mạng nội bộ.

Có những dấu hiệu từ mã nguồn cho thấy những điểm tương đồng với cụm hoạt động đã được xác định trước đó được gọi là HiatusRAT , mặc dù cho đến nay chưa có trường hợp nào về nạn nhân được chia sẻ. Có vẻ như hai hoạt động này đang hoạt động đồng thời.

Vector lây nhiễm cho các thiết bị xâm phạm với phần mềm độc hại mực nang

Mực nang đã hoạt động ít nhất từ ngày 27 tháng 7 năm 2023, với chiến dịch mới nhất kéo dài từ tháng 10 năm 2023 đến tháng 4 năm 2024. Trong khoảng thời gian này, nó chủ yếu nhắm mục tiêu vào 600 địa chỉ IP duy nhất được liên kết với hai nhà cung cấp dịch vụ viễn thông Thổ Nhĩ Kỳ.

Phương pháp cụ thể được sử dụng để truy cập ban đầu vào thiết bị mạng bị xâm phạm vẫn chưa rõ ràng. Tuy nhiên, sau khi đã thiết lập được chỗ đứng, tập lệnh bash sẽ được triển khai để thu thập dữ liệu máy chủ, bao gồm/v.v., nội dung, quy trình đang chạy, kết nối hoạt động và gắn kết. Thông tin này sau đó được gửi đến miền do tác nhân đe dọa kiểm soát ('kkthreas.com/upload'). Sau đó, nó tải xuống và thực thi tải trọng Mực nang từ một máy chủ chuyên dụng dựa trên kiến trúc bộ định tuyến cụ thể (ví dụ: Arm, mips32 và mips64, i386, i386_i686, i386_x64, v.v.).

Phần mềm độc hại mực nang có thể xâm phạm thông tin xác thực quan trọng của nạn nhân

Một tính năng nổi bật của phần mềm độc hại này là khả năng đánh hơi thụ động được thiết kế đặc biệt để nhắm mục tiêu dữ liệu xác thực từ các dịch vụ đám mây công cộng như Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare và BitBucket, đạt được thông qua Bộ lọc gói Berkeley mở rộng (eBPF). ).

Phần mềm độc hại hoạt động dựa trên bộ quy tắc hướng nó chiếm quyền điều khiển lưu lượng truy cập đến một địa chỉ IP riêng tư hoặc kích hoạt chức năng đánh hơi đối với lưu lượng truy cập đến IP công cộng, cho phép đánh cắp thông tin đăng nhập trong các điều kiện cụ thể. Các quy tắc xâm nhập được truy xuất và cập nhật từ máy chủ Lệnh và Kiểm soát (C2) được thiết lập cho mục đích này, với kết nối an toàn sử dụng chứng chỉ RSA được nhúng.

Hơn nữa, phần mềm độc hại có thể hoạt động như một proxy hoặc VPN, cho phép truyền dữ liệu đã thu thập qua bộ định tuyến bị xâm nhập và tạo điều kiện cho các tác nhân đe dọa sử dụng thông tin đăng nhập được thu thập để truy cập các tài nguyên được nhắm mục tiêu.

Các nhà nghiên cứu mô tả Mực nang là một dạng phần mềm độc hại nghe lén thụ động tiên tiến dành cho thiết bị mạng biên, kết hợp nhiều khả năng khác nhau như thao túng tuyến đường, chiếm quyền điều khiển kết nối và đánh hơi thụ động. Với tài liệu xác thực bị chiếm dụng, các tác nhân đe dọa không chỉ có quyền truy cập vào tài nguyên đám mây được liên kết với mục tiêu mà còn thiết lập chỗ đứng trong hệ sinh thái đám mây đó.