Inktvis-malware

Een nieuwe malware, bekend als Cuttlefish, richt zich op routers voor kleine kantoren en thuiskantoren (SOHO), met als doel op discrete wijze al het verkeer dat door deze apparaten gaat te monitoren en authenticatiegegevens te verzamelen van HTTP GET- en POST-verzoeken.

Deze specifieke malware is modulair gebouwd en richt zich voornamelijk op de diefstal van authenticatie-informatie van webverzoeken die via de router op het Local Area Network (LAN) gaan. Bovendien beschikt het over de mogelijkheid om DNS- en HTTP-kapingen uit te voeren voor verbindingen binnen privé-IP-ruimte, die doorgaans verband houden met interne netwerkcommunicatie.

Er zijn aanwijzingen uit de broncode die overeenkomsten suggereren met een eerder geïdentificeerd activiteitencluster dat bekend staat als HiatusRAT , hoewel er tot nu toe geen gevallen van gedeelde slachtofferschap zijn waargenomen. Het lijkt erop dat deze twee operaties gelijktijdig actief zijn.

Infectievector voor het compromitteren van apparaten met de Cuttlefish-malware

Cuttlefish is in ieder geval sinds 27 juli 2023 actief en de laatste campagne liep van oktober 2023 tot april 2024. Tijdens deze periode richtte de campagne zich vooral op 600 unieke IP-adressen die gekoppeld waren aan twee Turkse telecomaanbieders.

De specifieke methode die wordt gebruikt voor de initiële toegang tot gecompromitteerde netwerkapparatuur blijft onduidelijk. Zodra er echter vaste voet aan de grond is, wordt een bash-script ingezet om hostgegevens te verzamelen, inclusief/enz., inhoud, lopende processen, actieve verbindingen en mounts. Deze informatie wordt vervolgens verzonden naar een domein dat wordt beheerd door de bedreigingsacteur ('kkthreas.com/upload'). Vervolgens downloadt en voert het de Cuttlefish-payload uit van een speciale server op basis van de specifieke routerarchitectuur (bijv. Arm, mips32 en mips64, i386, i386_i686, i386_x64, enz.).

De Cuttlefish-malware kan de inloggegevens van cruciale slachtoffers in gevaar brengen

Een opvallend kenmerk van deze malware is de passieve sniffing-mogelijkheid die specifiek is ontworpen om authenticatiegegevens van openbare clouddiensten zoals Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare en BitBucket te targeten, bereikt via een uitgebreid Berkeley Packet Filter (eBPF). ).

De malware werkt op basis van een regelset die hem instrueert verkeer te kapen dat op weg is naar een privé-IP-adres, of een sniffer-functie te activeren voor verkeer dat naar een openbaar IP-adres gaat, waardoor diefstal van inloggegevens onder specifieke omstandigheden mogelijk wordt gemaakt. De kapingsregels worden opgehaald en bijgewerkt vanaf een Command-and-Control (C2)-server die voor dit doel is opgezet, met een beveiligde verbinding die gebruik maakt van een ingebed RSA-certificaat.

Bovendien kan de malware fungeren als een proxy of VPN, waardoor vastgelegde gegevens via de gecompromitteerde router kunnen worden verzonden en bedreigingsactoren kunnen worden gefaciliteerd bij het gebruik van verzamelde inloggegevens om toegang te krijgen tot gerichte bronnen.

Onderzoekers omschrijven Cuttlefish als een geavanceerde vorm van passieve afluister-malware voor edge-netwerkapparatuur, waarbij verschillende mogelijkheden worden gecombineerd, zoals routemanipulatie, het kapen van verbindingen en passief snuiven. Met het verduisterde authenticatiemateriaal krijgen bedreigingsactoren niet alleen toegang tot cloudbronnen die verband houden met het doelwit, maar vestigen ze ook voet aan de grond binnen dat cloud-ecosysteem.