Malware pro sépie

Nový malware známý jako Cuttlefish se zaměřuje na routery pro malé kanceláře a domácí kanceláře (SOHO), jehož cílem je diskrétně sledovat veškerý provoz procházející těmito zařízeními a shromažďovat ověřovací data z požadavků HTTP GET a POST.

Tento konkrétní malware je postaven modulárním způsobem a primárně se zaměřuje na krádež autentizačních informací z webových požadavků procházejících přes router v místní síti (LAN). Navíc má schopnost provádět DNS a HTTP únosy pro připojení v rámci soukromého IP prostoru, obvykle spojeného s interní síťovou komunikací.

Existují náznaky ze zdrojového kódu, které naznačují podobnosti s dříve identifikovaným shlukem aktivit známým jako HiatusRAT , i když dosud nebyly pozorovány žádné případy sdílené viktimologie. Zdá se, že tyto dvě operace jsou aktivní současně.

Vektor infekce pro kompromitaci zařízení s malwarem sépie

Sépie je aktivní minimálně od 27. července 2023, přičemž její nejnovější kampaň trvá od října 2023 do dubna 2024. Během tohoto období se primárně zaměřovala na 600 unikátních IP adres spojených se dvěma tureckými poskytovateli telekomunikačních služeb.

Konkrétní metoda použitá pro počáteční přístup ke kompromitovanému síťovému zařízení zůstává nejasná. Jakmile je však vytvořena základna, je nasazen bash skript ke shromažďování dat hostitele, včetně/atd., obsahu, běžících procesů, aktivních připojení a připojení. Tyto informace jsou poté odeslány do domény kontrolované aktérem hrozby („kkthreas.com/upload“). Následně stáhne a spustí užitečné zatížení Cuttlefish z dedikovaného serveru na základě specifické architektury routeru (např. Arm, mips32 a mips64, i386, i386_i686, i386_x64 atd.).

Malware sépie může ohrozit pověření zásadních obětí

Výjimečnou funkcí tohoto malwaru je jeho pasivní sniffovací schopnost navržená speciálně pro cílení na autentizační data z veřejných cloudových služeb, jako je Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare a BitBucket, dosažená prostřednictvím rozšířeného filtru Berkeley Packet Filter (eBPF). ).

Malware funguje na základě sady pravidel, která jej nasměruje buď k únosu provozu vázaného na soukromou IP adresu, nebo k aktivaci funkce sniffer pro provoz směřující na veřejnou IP, což umožňuje krádež přihlašovacích údajů za specifických podmínek. Pravidla únosu se načítají a aktualizují ze serveru Command-and-Control (C2) vytvořeného pro tento účel, se zabezpečeným připojením pomocí vestavěného certifikátu RSA.

Kromě toho může malware fungovat jako proxy nebo VPN, což umožňuje přenos zachycených dat přes kompromitovaný router a usnadňuje aktérům hrozeb používat shromážděná pověření pro přístup k cíleným zdrojům.

Výzkumníci popisují Cuttlefish jako pokročilou formu pasivního odposlouchávacího malwaru pro okrajová síťová zařízení, kombinující různé schopnosti, jako je manipulace s trasami, únosy připojení a pasivní sniffing. S neoprávněným autentizačním materiálem získají aktéři hrozeb nejen přístup ke cloudovým zdrojům spojeným s cílem, ale také vytvoří oporu v tomto cloudovém ekosystému.