Tintahal malware

A Cuttlefish néven ismert új rosszindulatú program a kis irodai és otthoni irodai (SOHO) útválasztókra összpontosít, és célja az ezeken az eszközökön áthaladó összes forgalom diszkrét figyelése, és hitelesítési adatok gyűjtése a HTTP GET és POST kérésekből.

Ez a rosszindulatú program moduláris felépítésű, elsősorban a helyi hálózat (LAN) routeren áthaladó webes kérésekből származó hitelesítési információk ellopását célozza meg. Ezenkívül képes DNS- és HTTP-eltérítést végrehajtani a privát IP-területen belüli kapcsolatokhoz, amelyek általában a belső hálózati kommunikációhoz kapcsolódnak.

A forráskódból vannak olyan jelek, amelyek hasonlóságra utalnak a HiatusRAT néven ismert, korábban azonosított tevékenységcsoporttal, bár eddig nem figyeltek meg megosztott viktimológiát. Úgy tűnik, hogy ez a két művelet egyidejűleg aktív.

A tintahal kártevőkkel való kompromittáló eszközök fertőzési vektora

A Cuttlefish legalább 2023. július 27. óta aktív, legutóbbi kampánya pedig 2023 októberétől 2024 áprilisáig tartott. Ebben az időszakban elsősorban 600 egyedi IP-címet célzott meg, amelyek két török távközlési szolgáltatóhoz kapcsolódnak.

A kompromittált hálózati berendezésekhez való kezdeti hozzáférés konkrét módszere továbbra is tisztázatlan. A támaszpont kialakítása után azonban egy bash-szkript kerül telepítésre a gazdagépadatok, köztük/stb., tartalom, futó folyamatok, aktív kapcsolatok és csatolások összegyűjtésére. Ezt az információt ezután a fenyegetés szereplője által felügyelt tartományba küldik ("kkthreas.com/upload"). Ezt követően letölti és végrehajtja a Cuttlefish hasznos terhét egy dedikált szerverről az adott útválasztó architektúrája alapján (pl. Arm, mips32 és mips64, i386, i386_i686, i386_x64 stb.).

A Cuttlefish Malware veszélyeztetheti a döntő áldozatok hitelesítő adatait

Ennek a rosszindulatú programnak egy kiemelkedő tulajdonsága a passzív szippantási képessége, amelyet kifejezetten az olyan nyilvános felhőszolgáltatások hitelesítési adatainak megcélzására terveztek, mint az Alicloud, az Amazon Web Services (AWS), a Digital Ocean, a CloudFlare és a BitBucket, amelyet egy kiterjesztett Berkeley csomagszűrő (eBPF) biztosít. ).

A rosszindulatú program egy szabálykészleten alapul, amely arra irányítja, hogy vagy eltérítse a privát IP-címhez tartó forgalmat, vagy aktiváljon egy szippantó funkciót a nyilvános IP-címre irányító forgalom számára, lehetővé téve a hitelesítő adatok ellopását bizonyos feltételek mellett. Az eltérítési szabályok lekérése és frissítése egy erre a célra létrehozott Command-and-Control (C2) kiszolgálóról történik, biztonságos kapcsolattal, beágyazott RSA-tanúsítvány használatával.

Ezenkívül a rosszindulatú program proxyként vagy VPN-ként is működhet, lehetővé téve a rögzített adatok továbbítását a feltört útválasztón keresztül, és megkönnyíti a fenyegetés szereplőinek az összegyűjtött hitelesítő adatok felhasználását a célzott erőforrások eléréséhez.

A kutatók a Cuttlefish-t a peremhálózati berendezésekhez használt passzív lehallgató rosszindulatú programok fejlett formájaként írják le, amely különféle képességeket, például útvonal-manipulációt, kapcsolateltérítést és passzív szippantást kombinál. Az eltulajdonított hitelesítési anyagokkal a fenyegetés szereplői nemcsak hozzáférést kapnak a célponthoz kapcsolódó felhő-erőforrásokhoz, hanem meg is támasztják a lábukat a felhő-ökoszisztémán belül.