មេរោគ Cttlefish
មេរោគថ្មីដែលគេស្គាល់ថាជា Cuttlefish ផ្តោតលើរ៉ោតទ័រការិយាល័យតូច និងការិយាល័យនៅផ្ទះ (SOHO) ដែលមានគោលបំណងត្រួតពិនិត្យដោយប្រុងប្រយ័ត្ននូវចរាចរណ៍ទាំងអស់ដែលឆ្លងកាត់ឧបករណ៍ទាំងនេះ និងប្រមូលទិន្នន័យផ្ទៀងផ្ទាត់ពីសំណើ HTTP GET និង POST ។
មេរោគពិសេសនេះត្រូវបានបង្កើតឡើងក្នុងទម្រង់ម៉ូឌុល ដោយផ្តោតជាចម្បងទៅលើការលួចព័ត៌មានផ្ទៀងផ្ទាត់ពីសំណើគេហទំព័រដែលឆ្លងកាត់រ៉ោតទ័រនៅលើបណ្តាញតំបន់មូលដ្ឋាន (LAN)។ លើសពីនេះ វាមានសមត្ថភាពអនុវត្តការលួច DNS និង HTTP សម្រាប់ការតភ្ជាប់ក្នុងចន្លោះ IP ឯកជន ដែលជាធម្មតាត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការទំនាក់ទំនងបណ្តាញខាងក្នុង។
មានការចង្អុលបង្ហាញពីកូដប្រភពដែលបង្ហាញពីភាពស្រដៀងគ្នាជាមួយនឹងចង្កោមសកម្មភាពដែលបានកំណត់ពីមុនដែលគេស្គាល់ថាជា HiatusRAT ទោះបីជាមិនមានករណីនៃជនរងគ្រោះដែលបានចែករំលែកត្រូវបានគេសង្កេតឃើញរហូតមកដល់ពេលនេះក៏ដោយ។ វាបង្ហាញថាប្រតិបត្តិការទាំងពីរនេះគឺសកម្មក្នុងពេលដំណាលគ្នា។
វ៉ិចទ័រឆ្លងមេរោគសម្រាប់ឧបករណ៍សម្របសម្រួលជាមួយមេរោគ Cuttlefish Malware
Cuttlefish មានសកម្មភាពតាំងពីយ៉ាងហោចណាស់ថ្ងៃទី 27 ខែកក្កដា ឆ្នាំ 2023 ជាមួយនឹងយុទ្ធនាការចុងក្រោយបំផុតរបស់វាចាប់ពីខែតុលា ឆ្នាំ 2023 ដល់ខែមេសា ឆ្នាំ 2024។ ក្នុងអំឡុងពេលនេះ វាបានកំណត់គោលដៅជាចម្បងនូវអាសយដ្ឋាន IP តែមួយគត់ចំនួន 600 ដែលភ្ជាប់ទៅនឹងអ្នកផ្តល់សេវាទូរគមនាគមន៍ទួរគីពីរ។
វិធីសាស្រ្តជាក់លាក់ដែលត្រូវបានប្រើសម្រាប់ការចូលប្រើដំបូងដើម្បីសម្របសម្រួលឧបករណ៍បណ្តាញនៅតែមិនច្បាស់លាស់។ ទោះជាយ៉ាងណាក៏ដោយ នៅពេលដែលការឈរជើងត្រូវបានបង្កើតឡើង ស្គ្រីប bash ត្រូវបានដាក់ពង្រាយដើម្បីប្រមូលទិន្នន័យម៉ាស៊ីន រួមទាំង/ល មាតិកា ដំណើរការដែលកំពុងដំណើរការ ការតភ្ជាប់សកម្ម និងការម៉ោន។ បន្ទាប់មកព័ត៌មាននេះត្រូវបានផ្ញើទៅកាន់ដែនដែលគ្រប់គ្រងដោយអ្នកគំរាមកំហែង ('kkthreas.com/upload')។ ជាបន្តបន្ទាប់វាទាញយក និងប្រតិបត្តិ Cuttlefish payload ពីម៉ាស៊ីនមេដែលខិតខំប្រឹងប្រែងដោយផ្អែកលើស្ថាបត្យកម្មរ៉ោតទ័រជាក់លាក់ (ឧទាហរណ៍ Arm, mips32, និង mips64, i386, i386_i686, i386_x64 ។ល។)។
មេរោគ Cuttlefish អាចបំផ្លាញអត្តសញ្ញាណជនរងគ្រោះសំខាន់ៗ
លក្ខណៈពិសេសលេចធ្លោនៃមេរោគនេះគឺសមត្ថភាព sniffing អកម្មរបស់វាដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីកំណត់គោលដៅទិន្នន័យផ្ទៀងផ្ទាត់ពីសេវាពពកសាធារណៈដូចជា Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare និង BitBucket ដែលសម្រេចបានតាមរយៈតម្រងកញ្ចប់ Berkeley ដែលបានពង្រីក (eBPF )
មេរោគដំណើរការដោយផ្អែកលើច្បាប់កំណត់ដែលដឹកនាំវាឱ្យលួចចរាចរដែលចងភ្ជាប់សម្រាប់អាសយដ្ឋាន IP ឯកជន ឬធ្វើឱ្យមុខងារ sniffer សកម្មសម្រាប់ចរាចរឆ្ពោះទៅ IP សាធារណៈ ដែលអនុញ្ញាតឱ្យមានការលួចព័ត៌មានសម្ងាត់នៅក្រោមលក្ខខណ្ឌជាក់លាក់។ ច្បាប់ប្លន់ត្រូវបានទាញយក និងធ្វើបច្ចុប្បន្នភាពពីម៉ាស៊ីនមេ Command-and-Control (C2) ដែលបានបង្កើតឡើងសម្រាប់គោលបំណងនេះ ជាមួយនឹងការតភ្ជាប់សុវត្ថិភាពដោយប្រើវិញ្ញាបនបត្រ RSA ដែលបានបង្កប់។
លើសពីនេះទៅទៀត មេរោគអាចដើរតួជាប្រូកស៊ី ឬ VPN ដែលអនុញ្ញាតឱ្យទិន្នន័យដែលបានចាប់យកត្រូវបានបញ្ជូនតាមរយៈរ៉ោតទ័រដែលត្រូវបានសម្របសម្រួល និងសម្របសម្រួលតួអង្គគំរាមកំហែងក្នុងការប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលប្រមូលបានដើម្បីចូលប្រើធនធានគោលដៅ។
អ្នកស្រាវជ្រាវពណ៌នាអំពី Cuttlefish ថាជាទម្រង់កម្រិតខ្ពស់នៃមេរោគលួចស្តាប់អកម្មសម្រាប់ឧបករណ៍បណ្តាញគែម ដោយរួមបញ្ចូលគ្នានូវសមត្ថភាពផ្សេងៗដូចជា ការគ្រប់គ្រងផ្លូវ ការលួចតភ្ជាប់ និងការស្រូបក្លិនអកម្ម។ ជាមួយនឹងសម្ភារៈផ្ទៀងផ្ទាត់មិនត្រឹមត្រូវ តួអង្គគំរាមកំហែងមិនត្រឹមតែអាចចូលប្រើប្រាស់ធនធានពពកដែលទាក់ទងនឹងគោលដៅប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបង្កើតមូលដ្ឋាននៅក្នុងប្រព័ន្ធអេកូឡូស៊ីពពកនោះ។
