Cuttlefish Malware

Нов злонамерен софтуер, известен като Cuttlefish, се фокусира върху рутери за малки офиси и домашни офиси (SOHO), като има за цел да наблюдава дискретно целия трафик, преминаващ през тези устройства, и да събира данни за удостоверяване от HTTP GET и POST заявки.

Този конкретен злонамерен софтуер е изграден по модулен начин, насочен предимно към кражба на информация за удостоверяване от уеб заявки, преминаващи през рутера в локалната мрежа (LAN). Освен това, той притежава способността да извършва DNS и HTTP отвличане за връзки в рамките на частно IP пространство, обикновено свързано с вътрешна мрежова комуникация.

Има индикации от изходния код, които предполагат прилики с предварително идентифициран клъстер от дейности, известен като HiatusRAT , въпреки че досега не са наблюдавани случаи на споделена виктимология. Изглежда, че тези две операции са активни едновременно.

Инфекционен вектор за компрометиране на устройства със зловреден софтуер Cuttlefish

Cuttlefish е активен най-малко от 27 юли 2023 г., като последната му кампания обхваща периода от октомври 2023 г. до април 2024 г. През този период тя е насочена основно към 600 уникални IP адреса, свързани с два турски телекомуникационни доставчика.

Конкретният метод, използван за първоначален достъп до компрометирано мрежово оборудване, остава неясен. Въпреки това, след като се установи опорна точка, се внедрява bash скрипт за събиране на данни за хост, включително/и т.н., съдържание, работещи процеси, активни връзки и монтирания. След това тази информация се изпраща до домейн, контролиран от заплахата („kkthreas.com/upload“). Впоследствие той изтегля и изпълнява полезния товар на Cuttlefish от специален сървър въз основа на специфичната архитектура на рутера (напр. Arm, mips32 и mips64, i386, i386_i686, i386_x64 и т.н.).

Злонамереният софтуер Cuttlefish може да компрометира идентификационните данни на важните жертви

Отличителна черта на този злонамерен софтуер е неговата способност за пасивно снифиране, проектирана специално за насочване на данни за удостоверяване от обществени облачни услуги като Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare и BitBucket, постигната чрез разширен пакетен филтър на Berkeley (eBPF ).

Злонамереният софтуер работи въз основа на набор от правила, който го насочва или да отвлича трафик, свързан с частен IP адрес, или да активира функция за снифър за трафик, насочен към публичен IP, което позволява кражба на идентификационни данни при определени условия. Правилата за отвличане се извличат и актуализират от Command-and-Control (C2) сървър, създаден за тази цел, със защитена връзка с помощта на вграден RSA сертификат.

Освен това злонамереният софтуер може да действа като прокси или VPN, позволявайки прехвърлянето на заснетите данни през компрометирания рутер и улеснявайки участниците в заплахата да използват събраните идентификационни данни за достъп до целеви ресурси.

Изследователите описват Cuttlefish като усъвършенствана форма на злонамерен софтуер за пасивно подслушване за периферно мрежово оборудване, комбиниращ различни възможности като манипулиране на маршрути, отвличане на връзка и пасивно подслушване. С неправомерно присвоения материал за удостоверяване, участниците в заплахата не само получават достъп до облачни ресурси, свързани с целта, но също така установяват опора в тази облачна екосистема.