Malware for blekksprut

En ny skadelig programvare kjent som Cuttlefish fokuserer på små kontor- og hjemmekontorrutere (SOHO), med sikte på å diskret overvåke all trafikk som passerer gjennom disse enhetene og samle inn autentiseringsdata fra HTTP GET- og POST-forespørsler.

Denne spesielle skadevare er bygget på en modulær måte, primært rettet mot tyveri av autentiseringsinformasjon fra nettforespørsler som går gjennom ruteren på lokalnettverket (LAN). I tillegg har den muligheten til å utføre DNS- og HTTP-kapring for tilkoblinger innenfor privat IP-rom, vanligvis assosiert med intern nettverkskommunikasjon.

Det er indikasjoner fra kildekoden som antyder likheter med en tidligere identifisert aktivitetsklynge kjent som HiatusRAT , selv om ingen tilfeller av delt viktimologi har blitt observert så langt. Det ser ut til at disse to operasjonene er aktive samtidig.

Infeksjonsvektor for kompromittering av enheter med skadelig programvare for blekksprut

Cuttlefish har vært aktiv siden minst 27. juli 2023, med sin siste kampanje som strekker seg fra oktober 2023 til april 2024. I løpet av denne perioden var den primært målrettet mot 600 unike IP-adresser knyttet til to tyrkiske telekomleverandører.

Den spesifikke metoden som brukes for førstegangstilgang til kompromitterende nettverksutstyr er fortsatt uklar. Men når et fotfeste er etablert, distribueres et bash-skript for å samle vertsdata, inkludert/etc., innhold, kjørende prosesser, aktive tilkoblinger og monteringer. Denne informasjonen sendes deretter til et domene kontrollert av trusselaktøren ('kkthreas.com/upload'). Den laster deretter ned og kjører Cuttlefish-nyttelasten fra en dedikert server basert på den spesifikke ruterarkitekturen (f.eks. Arm, mips32 og mips64, i386, i386_i686, i386_x64, etc).

Blekksprutmalwaren kan kompromittere viktige ofres legitimasjon

En fremtredende funksjon ved denne skadevaren er dens passive sniffing-evne designet spesielt for å målrette mot autentiseringsdata fra offentlige skytjenester som Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare og BitBucket, oppnådd gjennom et utvidet Berkeley-pakkefilter (eBPF) ).

Skadevaren opererer basert på et regelsett som leder den til enten å kapre trafikk som er bundet til en privat IP-adresse eller aktivere en sniffer-funksjon for trafikk på vei til en offentlig IP, noe som muliggjør tyveri av legitimasjon under spesifikke forhold. Kapringsreglene hentes og oppdateres fra en Command-and-Control-server (C2) som er opprettet for dette formålet, med en sikker tilkobling ved hjelp av et innebygd RSA-sertifikat.

Dessuten kan skadelig programvare fungere som en proxy eller VPN, slik at innfangede data kan overføres gjennom den kompromitterte ruteren og tilrettelegger for trusselaktører i å bruke innsamlet legitimasjon for å få tilgang til målrettede ressurser.

Forskere beskriver Cuttlefish som en avansert form for passiv avlytting av skadelig programvare for edge-nettverksutstyr, og kombinerer ulike funksjoner som rutemanipulasjon, tilkoblingskapring og passiv sniffing. Med det misbrukte autentiseringsmaterialet får trusselaktører ikke bare tilgang til skyressurser knyttet til målet, men etablerer også fotfeste innenfor det skyøkosystemet.