Seepia-haittaohjelma

Uusi Cuttlefish-niminen haittaohjelma keskittyy pienten toimistojen ja kotitoimistojen (SOHO) reitittimiin, ja se pyrkii tarkkailemaan huomaamattomasti kaikkea näiden laitteiden läpi kulkevaa liikennettä ja keräämään todennustietoja HTTP GET- ja POST-pyynnöistä.

Tämä haittaohjelma on rakennettu modulaarisesti ja se kohdistuu ensisijaisesti LAN-reitittimen kautta kulkevien verkkopyyntöjen todennustietojen varkauksiin. Lisäksi sillä on kyky suorittaa DNS- ja HTTP-kaappauksia yhteyksille yksityisessä IP-tilassa, joka liittyy tyypillisesti sisäiseen verkkoviestintään.

Lähdekoodista on viitteitä, jotka viittaavat samankaltaisuuksiin aiemmin tunnistetun HiatusRAT -nimisen aktiviteettiklusterin kanssa, vaikka toistaiseksi ei ole havaittu tapauksia jaetusta viktimologiasta. Näyttää siltä, että nämä kaksi toimintoa ovat samanaikaisesti aktiivisia.

Infektiovektori vaarantaville laitteille Cuttlefish-haittaohjelmalla

Cuttlefish on ollut aktiivinen ainakin 27. heinäkuuta 2023 lähtien, ja sen viimeisin kampanja ulottui lokakuusta 2023 huhtikuuhun 2024. Tänä aikana se kohdistui ensisijaisesti 600 yksilölliseen IP-osoitteeseen, jotka oli linkitetty kahteen turkkilaiseen teleoperaattoriin.

Erityinen menetelmä, jota käytetään verkkolaitteiden vaarantamiseen pääsyyn, on edelleen epäselvä. Kuitenkin, kun jalansija on muodostettu, bash-komentosarja otetaan käyttöön isäntätietojen, mukaan lukien/jne., sisällön, käynnissä olevien prosessien, aktiivisten yhteyksien ja liitäntöjen keräämiseksi. Nämä tiedot lähetetään sitten uhkatoimijan hallitsemaan verkkotunnukseen ('kkthreas.com/upload'). Myöhemmin se lataa ja suorittaa Cuttlefish-hyötykuorman erilliseltä palvelimelta tietyn reitittimen arkkitehtuurin perusteella (esim. Arm, mips32 ja mips64, i386, i386_i686, i386_x64 jne.).

Cuttlefish-haittaohjelma voi vaarantaa tärkeiden uhrien valtakirjat

Tämän haittaohjelman erottuva ominaisuus on sen passiivinen haistelukyky, joka on suunniteltu erityisesti kohdistamaan todennusdataan julkisista pilvipalveluista, kuten Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare ja BitBucket. Tämä saavutetaan laajennetun Berkeley Packet Filterin (eBPF) avulla. ).

Haittaohjelma toimii sääntösarjan perusteella, joka ohjaa sen joko kaappaamaan yksityiseen IP-osoitteeseen suuntautuvaa liikennettä tai aktivoimaan julkiseen IP-osoitteeseen suuntautuvan liikenteen nuuskimistoiminnon, mikä mahdollistaa tunnistetietojen varastamisen tietyissä olosuhteissa. Kaappaussäännöt haetaan ja päivitetään tätä tarkoitusta varten perustetulta Command-and-Control (C2) -palvelimelta suojatulla yhteydellä sulautetun RSA-varmenteen avulla.

Lisäksi haittaohjelma voi toimia välityspalvelimena tai VPN:nä, mikä mahdollistaa kaapattujen tietojen siirtämisen vaarantuneen reitittimen kautta ja helpottaa uhkatekijöitä käyttämään kerättyjä tunnistetietoja kohderesurssien käyttämiseen.

Tutkijat kuvailevat seepiaa edistyneeksi passiivisen salakuunteluhaittaohjelman muotoksi reunaverkkolaitteita varten, ja se yhdistää erilaisia ominaisuuksia, kuten reitin manipuloinnin, yhteyden kaappauksen ja passiivisen haistamisen. Väärin kavaltetun todennusmateriaalin avulla uhkatoimijat eivät vain pääse käsiksi kohteeseen liittyviin pilviresursseihin, vaan myös vahvistavat jalansijaa kyseisessä pilviekosysteemissä.