Seepia pahavara

Uus pahavara nimega Cuttlefish keskendub väikeste kontorite ja kodukontori (SOHO) ruuteritele, mille eesmärk on diskreetselt jälgida kogu neid seadmeid läbivat liiklust ja koguda autentimisandmeid HTTP GET- ja POST-päringutest.

See konkreetne pahavara on üles ehitatud modulaarselt, sihiks peamiselt kohtvõrgus (LAN) ruuterit läbivatest veebipäringutest pärineva autentimisteabe varguse vastu. Lisaks on sellel võime teostada DNS- ja HTTP-kaaperdamist privaatses IP-ruumis olevate ühenduste jaoks, mis on tavaliselt seotud sisevõrgu suhtlusega.

Lähtekoodist on viiteid, mis viitavad sarnasustele varem tuvastatud tegevusklastriga, mida tuntakse nime all HiatusRAT , kuigi ühise viktimoloogia juhtumeid pole seni täheldatud. Näib, et need kaks toimingut on samaaegselt aktiivsed.

Seepia pahavaraga seadmete ohustamise vektor

Seepia on olnud aktiivne alates 27. juulist 2023 ja selle viimane kampaania kestab 2023. aasta oktoobrist 2024. aasta aprillini. Sel perioodil oli see peamiselt suunatud 600 unikaalsele IP-aadressile, mis olid seotud kahe Türgi telekommunikatsiooniteenuse pakkujaga.

Konkreetne meetod, mida kasutatakse võrguseadmete kahjustamise esialgseks juurdepääsuks, jääb ebaselgeks. Kuid kui tugipunkt on loodud, juurutatakse bash-skript, et koguda hostiandmeid, sealhulgas/jne sisu, töötavaid protsesse, aktiivseid ühendusi ja kinnitusi. Seejärel saadetakse see teave domeeni, mida kontrollib ohus osaleja (kkthreas.com/upload). Seejärel laadib see alla ja käivitab seepia kasuliku koormuse spetsiaalsest serverist, mis põhineb konkreetsel ruuteri arhitektuuril (nt Arm, mips32 ja mips64, i386, i386_i686, i386_x64 jne).

Seepia pahavara võib ohustada ülioluliste ohvrite mandaate

Selle pahavara silmapaistvaks omaduseks on selle passiivne nuusutamisvõimalus, mis on loodud spetsiaalselt avalike pilveteenuste, nagu Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare ja BitBucket autentimisandmete sihtimiseks, mis saavutatakse laiendatud Berkeley pakettfiltri (eBPF) abil. ).

Pahavara töötab reeglistiku alusel, mis suunab selle kas privaatse IP-aadressile suunatud liikluse kaaperdama või avalikku IP-aadressile suunduva liikluse nuusutamisfunktsiooni, võimaldades teatud tingimustel mandaatide varguse. Kaaperdamisreeglid hangitakse ja värskendatakse selleks loodud Command-and-Control (C2) serverist turvalise ühendusega, kasutades manustatud RSA sertifikaati.

Lisaks võib pahavara toimida puhverserveri või VPN-ina, võimaldades salvestatud andmeid edastada läbi ohustatud ruuteri ja hõlbustada ohus osalejatel kogutud mandaatide kasutamist sihtressurssidele juurdepääsuks.

Teadlased kirjeldavad seepia kui passiivse pealtkuulamise pahavara täiustatud vormi servavõrguseadmete jaoks, mis ühendab erinevaid võimalusi, nagu marsruudi manipuleerimine, ühenduse kaaperdamine ja passiivne nuusutamine. Omastatud autentimismaterjaliga ei pääse ohus osalejad mitte ainult juurdepääsu sihtmärgiga seotud pilveressurssidele, vaid loovad ka tugipunkti selles pilveökosüsteemis.