Cuttlefish मालवेयर

Cuttlefish को रूपमा चिनिने नयाँ मालवेयरले सानो कार्यालय र गृह कार्यालय (SOHO) राउटरहरूमा ध्यान केन्द्रित गर्दछ, यी उपकरणहरू मार्फत जाने सबै ट्राफिकहरूलाई सावधानीपूर्वक निगरानी गर्ने र HTTP GET र POST अनुरोधहरूबाट प्रमाणीकरण डाटा सङ्कलन गर्ने लक्ष्य राख्छ।

यो विशेष मालवेयर एक मोड्युलर फेसनमा बनाइएको छ, मुख्य रूपमा स्थानीय क्षेत्र नेटवर्क (LAN) मा राउटर मार्फत जाने वेब अनुरोधहरूबाट प्रमाणीकरण जानकारीको चोरीलाई लक्षित गर्दै। थप रूपमा, यसले निजी IP स्पेस भित्र जडानहरूका लागि DNS र HTTP अपहरण गर्ने क्षमता राख्छ, सामान्यतया आन्तरिक सञ्जाल सञ्चारहरूसँग सम्बन्धित।

त्यहाँ स्रोत कोडबाट संकेतहरू छन् जुन पहिले पहिचान गरिएको गतिविधि क्लस्टर HiatusRAT को रूपमा चिनिने समानताहरू सुझाव दिन्छ, यद्यपि साझा पीडितताको कुनै पनि उदाहरण अहिलेसम्म अवलोकन गरिएको छैन। यस्तो देखिन्छ कि यी दुई कार्यहरू एकैसाथ सक्रिय छन्।

कटलफिश मालवेयरसँग सम्झौता गर्ने उपकरणहरूको लागि संक्रमण भेक्टर

कटलफिस कम्तिमा जुलाई 27, 2023 देखि सक्रिय छ, यसको पछिल्लो अभियान अक्टोबर 2023 देखि अप्रिल 2024 सम्म फैलिएको छ। यस अवधिमा, यसले मुख्य रूपमा दुई टर्की टेलिकम प्रदायकहरूसँग लिङ्क गरिएका 600 अद्वितीय आईपी ठेगानाहरूलाई लक्षित गरेको छ।

सम्झौता नेटवर्किङ उपकरणमा प्रारम्भिक पहुँचको लागि प्रयोग गरिएको विशिष्ट विधि अस्पष्ट रहन्छ। यद्यपि, एक पटक फुटहोल्ड स्थापना भएपछि, / आदि, सामग्रीहरू, चलिरहेको प्रक्रियाहरू, सक्रिय जडानहरू, र माउन्टहरू सहित होस्ट डेटा सङ्कलन गर्न ब्यास स्क्रिप्ट प्रयोग गरिन्छ। यो जानकारी त्यसपछि खतरा अभिनेता ('kkthreas.com/upload') द्वारा नियन्त्रित डोमेनमा पठाइन्छ। यसले पछि विशेष राउटर आर्किटेक्चर (जस्तै, आर्म, mips32, र mips64, i386, i386_i686, i386_x64, आदि) मा आधारित समर्पित सर्भरबाट कटलफिश पेलोड डाउनलोड र कार्यान्वयन गर्दछ।

कटलफिश मालवेयरले महत्त्वपूर्ण पीडितहरूको प्रमाणहरू सम्झौता गर्न सक्छ

यस मालवेयरको स्ट्यान्ड-आउट विशेषता भनेको विस्तारित बर्कले प्याकेट फिल्टर (eBPF) मार्फत हासिल गरिएको Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare, र BitBucket जस्ता सार्वजनिक क्लाउड सेवाहरूबाट प्रमाणीकरण डेटा लक्षित गर्न विशेष रूपमा डिजाइन गरिएको निष्क्रिय स्निफिङ क्षमता हो। )।

मालवेयर एक नियमसेटमा आधारित छ जसले यसलाई निजी आईपी ठेगानाको लागि बाध्य ट्राफिक अपहरण गर्न वा सार्वजनिक आईपीमा जाने ट्राफिकको लागि स्निफर प्रकार्य सक्रिय गर्न निर्देशन दिन्छ, विशेष सर्तहरूमा प्रमाणहरूको चोरी सक्षम पार्दै। हाइज्याक नियमहरू यस उद्देश्यका लागि स्थापित कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट प्राप्त र अद्यावधिक गरिएका छन्, एम्बेडेड RSA प्रमाणपत्र प्रयोग गरी सुरक्षित जडानको साथ।

यसबाहेक, मालवेयरले प्रोक्सी वा VPN को रूपमा कार्य गर्न सक्छ, क्याप्चर गरिएको डेटा सम्झौता राउटर मार्फत प्रसारित गर्न र लक्षित स्रोतहरू पहुँच गर्न सङ्कलन प्रमाणहरू प्रयोग गर्न खतरा अभिनेताहरूलाई सुविधा दिन्छ।

अन्वेषकहरूले कटलफिसलाई एज नेटवर्किङ उपकरणहरूको लागि निष्क्रिय इभड्रपिङ मालवेयरको उन्नत रूपको रूपमा वर्णन गर्दछ, विभिन्न क्षमताहरू जस्तै मार्ग हेरफेर, जडान अपहरण र निष्क्रिय स्निफिङको संयोजन। दुरुपयोग प्रमाणीकरण सामग्रीको साथ, खतरा अभिनेताहरूले लक्ष्यसँग सम्बन्धित क्लाउड स्रोतहरूमा पहुँच मात्र प्राप्त गर्दैनन्, तर त्यो क्लाउड इकोसिस्टम भित्र पहल पनि स्थापित गर्छन्।