Cuttlefish Malware

Novi zlonamjerni softver poznat kao Cuttlefish fokusiran je na usmjerivače za male urede i kućne urede (SOHO), s ciljem diskretnog nadzora prometa koji prolazi kroz te uređaje i prikupljanja podataka za autentifikaciju iz HTTP GET i POST zahtjeva.

Ovaj određeni zlonamjerni softver izrađen je na modularan način, primarno ciljajući na krađu podataka za provjeru autentičnosti iz web zahtjeva koji prolaze kroz usmjerivač na lokalnoj mreži (LAN). Dodatno, posjeduje sposobnost izvođenja otmice DNS-a i HTTP-a za veze unutar privatnog IP prostora, obično povezane s internom mrežnom komunikacijom.

Postoje indikacije iz izvornog koda koje sugeriraju sličnosti s prethodno identificiranim klasterom aktivnosti poznatim kao HiatusRAT , iako do sada nisu primijećeni slučajevi zajedničke viktimologije. Čini se da su te dvije operacije istovremeno aktivne.

Vektor infekcije za kompromitiranje uređaja zlonamjernim softverom Cuttlefish

Cuttlefish je aktivan najmanje od 27. srpnja 2023., a njegova posljednja kampanja proteže se od listopada 2023. do travnja 2024. Tijekom tog razdoblja primarno je ciljala 600 jedinstvenih IP adresa povezanih s dva turska telekom operatera.

Konkretna metoda korištena za početni pristup kompromitiranoj mrežnoj opremi ostaje nejasna. Međutim, nakon što se uspostavi uporište, postavlja se bash skripta za prikupljanje podataka o hostu, uključujući/itd., sadržaje, pokrenute procese, aktivne veze i montiranja. Te se informacije zatim šalju na domenu koju kontrolira akter prijetnje ('kkthreas.com/upload'). Nakon toga preuzima i izvršava Cuttlefish korisni teret s namjenskog poslužitelja na temelju specifične arhitekture usmjerivača (npr. Arm, mips32 i mips64, i386, i386_i686, i386_x64, itd.).

Zlonamjerni softver Cuttlefish može ugroziti ključne podatke žrtava

Značajka koja se ističe kod ovog zlonamjernog softvera njegova je sposobnost pasivnog njuškanja dizajnirana posebno za ciljanje autentifikacijskih podataka iz javnih usluga u oblaku kao što su Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare i BitBucket, postignuta kroz prošireni Berkeley Packet Filter (eBPF ).

Zlonamjerni softver radi na temelju skupa pravila koji ga usmjerava da ili otme promet vezan za privatnu IP adresu ili aktivira funkciju njuškanja za promet koji ide prema javnoj IP adresi, omogućujući krađu vjerodajnica pod određenim uvjetima. Pravila za otmicu dohvaćaju se i ažuriraju s Command-and-Control (C2) poslužitelja uspostavljenog za ovu svrhu, sa sigurnom vezom pomoću ugrađenog RSA certifikata.

Štoviše, zlonamjerni softver može djelovati kao proxy ili VPN, dopuštajući prijenos snimljenih podataka preko kompromitiranog usmjerivača i olakšavajući akterima prijetnje korištenje prikupljenih vjerodajnica za pristup ciljanim resursima.

Istraživači opisuju Cuttlefish kao napredni oblik zlonamjernog softvera za pasivno prisluškivanje za rubnu mrežnu opremu, koji kombinira različite mogućnosti poput manipulacije rutom, otmice veze i pasivnog njuškanja. Uz krivo prisvojeni autentifikacijski materijal, akteri prijetnje ne samo da dobivaju pristup resursima oblaka povezanim s metom, već i uspostavljaju uporište unutar tog ekosustava oblaka.