오징어 악성코드

Cuttlefish로 알려진 새로운 악성 코드는 소규모 사무실 및 홈 오피스(SOHO) 라우터에 초점을 맞추고 있으며, 이러한 장치를 통과하는 모든 트래픽을 은밀하게 모니터링하고 HTTP GET 및 POST 요청에서 인증 데이터를 수집하는 것을 목표로 합니다.

이 특정 악성 코드는 모듈식 방식으로 구축되었으며, 주로 근거리 통신망(LAN)의 라우터를 통과하는 웹 요청에서 인증 정보를 훔치는 것을 목표로 합니다. 또한 일반적으로 내부 네트워크 통신과 관련된 개인 IP 공간 내 연결에 대해 DNS 및 HTTP 하이재킹을 수행하는 기능을 보유하고 있습니다.

이전에 식별된 HiatusRAT 활동 클러스터와의 유사성을 암시하는 소스 코드 표시가 있지만, 지금까지 공유된 피해 사례는 관찰되지 않았습니다. 이 두 작업이 동시에 활성화된 것으로 보입니다.

Cuttlefish 악성코드로 장치를 손상시키는 감염 벡터

Cuttlefish는 최소 2023년 7월 27일부터 활성화되었으며 최신 캠페인은 2023년 10월부터 2024년 4월까지 진행되었습니다. 이 기간 동안 두 개의 터키 통신 제공업체에 연결된 600개의 고유 IP 주소를 주로 표적으로 삼았습니다.

네트워킹 장비를 손상시키기 위한 초기 액세스에 사용되는 구체적인 방법은 여전히 불분명합니다. 그러나 일단 기반이 구축되면 콘텐츠, 실행 중인 프로세스, 활성 연결 및 마운트를 포함한 호스트 데이터를 수집하기 위해 bash 스크립트가 배포됩니다. 그런 다음 이 정보는 위협 행위자가 제어하는 도메인('kkthreas.com/upload')으로 전송됩니다. 이후 특정 라우터 아키텍처(예: Arm, mips32 및 mips64, i386, i386_i686, i386_x64 등)를 기반으로 전용 서버에서 Cuttlefish 페이로드를 다운로드하고 실행합니다.

Cuttlefish 악성 코드는 중요한 피해자의 자격 증명을 손상시킬 수 있습니다.

이 악성 코드의 눈에 띄는 특징은 확장된 버클리 패킷 필터(eBPF)를 통해 달성되는 Alicloud, Amazon Web Services(AWS), Digital Ocean, CloudFlare 및 BitBucket과 같은 공용 클라우드 서비스의 인증 데이터를 표적으로 삼도록 특별히 설계된 수동 스니핑 기능입니다. ).

이 악성코드는 개인 IP 주소로 향하는 트래픽을 하이재킹하거나 공용 IP로 향하는 트래픽에 대해 스니퍼 기능을 활성화하여 특정 조건에서 자격 증명을 훔치도록 지시하는 규칙 세트를 기반으로 작동합니다. 하이재킹 규칙은 내장된 RSA 인증서를 사용하는 보안 연결을 통해 이 목적으로 설정된 C2(명령 및 제어) 서버에서 검색 및 업데이트됩니다.

또한 악성코드는 프록시 또는 VPN 역할을 하여 캡처된 데이터가 손상된 라우터를 통해 전송되도록 허용하고 위협 행위자가 수집된 자격 증명을 사용하여 대상 리소스에 액세스하는 것을 촉진할 수 있습니다.

연구원들은 Cuttlefish를 경로 조작, 연결 하이재킹, 수동적 스니핑과 같은 다양한 기능을 결합한 엣지 네트워킹 장비를 위한 수동적 도청 악성코드의 발전된 형태라고 설명합니다. 악의적인 인증 자료를 통해 위협 행위자는 대상과 관련된 클라우드 리소스에 대한 액세스 권한을 얻을 뿐만 아니라 해당 클라우드 생태계 내에 거점을 구축합니다.