بدافزار ساقه ماهی

بدافزار جدیدی به نام Cuttlefish بر روی روترهای اداری کوچک و اداری (SOHO) تمرکز دارد و هدف آن نظارت محتاطانه بر تمام ترافیک عبوری از این دستگاه‌ها و جمع‌آوری داده‌های احراز هویت از HTTP GET و درخواست‌های POST است.

این بدافزار خاص به صورت ماژولار ساخته شده است و در درجه اول سرقت اطلاعات احراز هویت از درخواست های وب را که از طریق روتر در شبکه محلی (LAN) عبور می کنند، هدف قرار می دهد. علاوه بر این، دارای قابلیت انجام ربودن DNS و HTTP برای اتصالات در فضای IP خصوصی است که معمولاً با ارتباطات شبکه داخلی مرتبط است.

نشانه هایی از کد منبع وجود دارد که شباهت هایی را با یک خوشه فعالیت شناسایی شده قبلی به نام HiatusRAT نشان می دهد، اگرچه هیچ نمونه ای از قربانی شناسی مشترک تا کنون مشاهده نشده است. به نظر می رسد که این دو عملیات همزمان فعال هستند.

ناقل عفونت برای دستگاه های در معرض خطر با بدافزار Cuttlefish

Cuttlefish حداقل از 27 ژوئیه 2023 با آخرین کمپین خود از اکتبر 2023 تا آوریل 2024 فعال بوده است. در این دوره، عمدتاً 600 آدرس IP منحصر به فرد مرتبط با دو ارائه دهنده مخابرات ترکیه را هدف قرار داده است.

روش خاصی که برای دسترسی اولیه به تجهیزات شبکه‌ای به خطر افتاده استفاده می‌شود نامشخص است. با این حال، هنگامی که یک پایگاه ایجاد شد، یک اسکریپت bash برای جمع آوری داده های میزبان، از جمله/و غیره، محتویات، فرآیندهای در حال اجرا، اتصالات فعال و مانت ها مستقر می شود. سپس این اطلاعات به دامنه ای ارسال می شود که توسط عامل تهدید ('kkthreas.com/upload') کنترل می شود. متعاقباً بارگیری Cuttlefish را از یک سرور اختصاصی بر اساس معماری روتر خاص (به عنوان مثال، Arm، mips32، و mips64، i386، i386_i686، i386_x64، و غیره) دانلود و اجرا می‌کند.

بدافزار Cuttlefish ممکن است اعتبار قربانیان مهم را به خطر بیندازد

ویژگی برجسته این بدافزار قابلیت sniffing غیرفعال آن است که به طور خاص برای هدف قرار دادن داده های احراز هویت از سرویس های ابری عمومی مانند Alicloud، خدمات وب آمازون (AWS)، Digital Ocean، CloudFlare و BitBucket طراحی شده است که از طریق فیلتر بسته برکلی توسعه یافته (eBPF) به دست می آید. ).

این بدافزار بر اساس مجموعه قوانینی عمل می‌کند که آن را هدایت می‌کند تا ترافیک محدود شده برای یک آدرس IP خصوصی را هک کند یا یک تابع sniffer را برای ترافیکی که به یک IP عمومی هدایت می‌شود فعال کند، و امکان سرقت اعتبارنامه‌ها را در شرایط خاص فراهم می‌کند. قوانین ربودن از یک سرور Command-and-Control (C2) که برای این منظور ایجاد شده است، با اتصال ایمن با استفاده از گواهی RSA تعبیه شده، بازیابی و به روز می شوند.

علاوه بر این، بدافزار می‌تواند به‌عنوان یک پروکسی یا VPN عمل کند، و اجازه می‌دهد داده‌های ضبط‌شده از طریق روتر در معرض خطر منتقل شود و عاملان تهدید را در استفاده از اعتبار جمع‌آوری‌شده برای دسترسی به منابع هدف تسهیل کند.

محققان Cuttlefish را به عنوان شکل پیشرفته‌ای از بدافزار استراق سمع غیرفعال برای تجهیزات شبکه لبه توصیف می‌کنند که قابلیت‌های مختلفی مانند دستکاری مسیر، ربوده شدن اتصال و sniffing غیرفعال را ترکیب می‌کند. با استفاده از مواد احراز هویت نامناسب، عوامل تهدید نه تنها به منابع ابری مرتبط با هدف دسترسی پیدا می‌کنند، بلکه جای پایی را در آن اکوسیستم ابری ایجاد می‌کنند.