البرمجيات الخبيثة الحبار

تركز البرمجيات الخبيثة الجديدة المعروفة باسم Cuttlefish على أجهزة توجيه المكاتب الصغيرة والمكاتب المنزلية (SOHO)، بهدف مراقبة جميع حركة المرور التي تمر عبر هذه الأجهزة بشكل سري وجمع بيانات المصادقة من طلبات HTTP GET وPOST.

تم تصميم هذه البرامج الضارة بطريقة معيارية، وتستهدف في المقام الأول سرقة معلومات المصادقة من طلبات الويب التي تمر عبر جهاز التوجيه على شبكة المنطقة المحلية (LAN). بالإضافة إلى ذلك، فإنه يمتلك القدرة على تنفيذ اختطاف DNS وHTTP للاتصالات داخل مساحة IP الخاصة، والتي ترتبط عادةً باتصالات الشبكة الداخلية.

هناك مؤشرات من الكود المصدري تشير إلى أوجه تشابه مع مجموعة أنشطة تم تحديدها مسبقًا تُعرف باسم HiatusRAT ، على الرغم من عدم ملاحظة أي حالات لعلم الضحايا المشترك حتى الآن. ويبدو أن هاتين العمليتين نشطتان في نفس الوقت.

ناقل العدوى لاختراق الأجهزة باستخدام برنامج Cuttlefish الضار

نشطت Cuttlefish منذ 27 يوليو 2023 على الأقل، وامتدت حملتها الأخيرة من أكتوبر 2023 إلى أبريل 2024. وخلال هذه الفترة، استهدفت في المقام الأول 600 عنوان IP فريد مرتبط باثنين من مزودي الاتصالات الأتراك.

لا تزال الطريقة المحددة المستخدمة للوصول الأولي إلى معدات الشبكات المعرضة للخطر غير واضحة. ومع ذلك، بمجرد إنشاء موطئ قدم، يتم نشر برنامج bash النصي لجمع بيانات المضيف، بما في ذلك/إلخ، والمحتويات، والعمليات الجارية، والاتصالات النشطة، وعمليات التثبيت. يتم بعد ذلك إرسال هذه المعلومات إلى مجال يتحكم فيه جهة التهديد ('kkthreas.com/upload'). ويقوم بعد ذلك بتنزيل وتنفيذ حمولة Cuttlefish من خادم مخصص استنادًا إلى بنية جهاز التوجيه المحددة (على سبيل المثال، Arm وmips32 وmips64 وi386 وi386_i686 وi386_x64 وما إلى ذلك).

قد تؤدي البرامج الضارة لـ Cuttlefish إلى تعريض بيانات اعتماد الضحايا المهمة للخطر

الميزة البارزة لهذه البرامج الضارة هي قدرتها على التجسس السلبي المصممة خصيصًا لاستهداف بيانات المصادقة من الخدمات السحابية العامة مثل Alicloud وAmazon Web Services (AWS) وDigital Ocean وCloudFlare وBitBucket، والتي يتم تحقيقها من خلال مرشح Berkeley Packet Filter الممتد (eBPF) ).

تعمل البرامج الضارة بناءً على مجموعة قواعد توجهها إما لاختطاف حركة المرور المرتبطة بعنوان IP خاص أو تنشيط وظيفة الشم لحركة المرور المتجهة إلى عنوان IP عام، مما يتيح سرقة بيانات الاعتماد في ظل ظروف محددة. يتم استرداد قواعد الاختطاف وتحديثها من خادم الأوامر والتحكم (C2) الذي تم إنشاؤه لهذا الغرض، مع اتصال آمن باستخدام شهادة RSA مضمنة.

علاوة على ذلك، يمكن أن تعمل البرامج الضارة بمثابة وكيل أو VPN، مما يسمح بنقل البيانات التي تم التقاطها عبر جهاز التوجيه المخترق وتسهيل استخدام الجهات الفاعلة في التهديد لبيانات الاعتماد المجمعة للوصول إلى الموارد المستهدفة.

يصف الباحثون Cuttlefish بأنه شكل متقدم من برامج التنصت السلبية الضارة لمعدات الشبكات الطرفية، ويجمع بين إمكانات مختلفة مثل معالجة المسار واختطاف الاتصال والاستنشاق السلبي. ومن خلال مواد المصادقة المختلسة، لا تتمكن الجهات الفاعلة في مجال التهديد من الوصول إلى الموارد السحابية المرتبطة بالهدف فحسب، بل تنشئ أيضًا موطئ قدم داخل هذا النظام البيئي السحابي.