Mątwy złośliwego oprogramowania

Nowe szkodliwe oprogramowanie znane jako Cuttlefish koncentruje się na routerach małych biur i biur domowych (SOHO), a jego celem jest dyskretne monitorowanie całego ruchu przechodzącego przez te urządzenia i zbieranie danych uwierzytelniających z żądań HTTP GET i POST.

To konkretne szkodliwe oprogramowanie jest zbudowane modułowo i jego celem jest przede wszystkim kradzież informacji uwierzytelniających z żądań internetowych przechodzących przez router w sieci lokalnej (LAN). Dodatkowo posiada możliwość wykonywania przechwytywania DNS i HTTP dla połączeń w prywatnej przestrzeni IP, zwykle związanej z wewnętrzną komunikacją sieciową.

Istnieją przesłanki z kodu źródłowego sugerujące podobieństwa z wcześniej zidentyfikowanym klastrem aktywności znanym jako HiatusRAT , chociaż jak dotąd nie zaobserwowano żadnych przypadków wspólnej wiktymologii. Wygląda na to, że te dwie operacje są aktywne jednocześnie.

Wektor infekcji zagrażający urządzeniom za pomocą złośliwego oprogramowania mątwy

Mątwa była aktywna co najmniej od 27 lipca 2023 r., a jej ostatnia kampania trwała od października 2023 r. do kwietnia 2024 r. W tym okresie była ona skierowana głównie do 600 unikalnych adresów IP powiązanych z dwoma tureckimi dostawcami usług telekomunikacyjnych.

Konkretna metoda stosowana w celu uzyskania początkowego dostępu do skompromitowanego sprzętu sieciowego pozostaje niejasna. Jednak po ustanowieniu przyczółka wdrażany jest skrypt bash w celu gromadzenia danych hosta, w tym/etc., zawartości, uruchomionych procesów, aktywnych połączeń i montowań. Informacje te są następnie wysyłane do domeny kontrolowanej przez cyberprzestępcę („kkthreas.com/upload”). Następnie pobiera i wykonuje ładunek mątwy z dedykowanego serwera w oparciu o konkretną architekturę routera (np. Arm, mips32 i mips64, i386, i386_i686, i386_x64 itp.).

Złośliwe oprogramowanie mątwy może naruszyć dane uwierzytelniające kluczowych ofiar

Wyróżniającą się cechą tego szkodliwego oprogramowania jest jego zdolność pasywnego wąchania, zaprojektowana specjalnie z myślą o danych uwierzytelniających z usług w chmurze publicznej, takich jak Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare i BitBucket, osiągana dzięki rozszerzonemu filtrowi pakietów Berkeley (eBPF). ).

Szkodnik działa w oparciu o zestaw reguł, który kieruje go do przechwytywania ruchu kierowanego do prywatnego adresu IP lub aktywowania funkcji sniffera dla ruchu kierowanego do publicznego adresu IP, umożliwiając kradzież danych uwierzytelniających w określonych warunkach. Reguły porwania są pobierane i aktualizowane z serwera dowodzenia i kontroli (C2) utworzonego w tym celu, z bezpiecznym połączeniem przy użyciu wbudowanego certyfikatu RSA.

Co więcej, złośliwe oprogramowanie może działać jako serwer proxy lub VPN, umożliwiając przesyłanie przechwyconych danych przez zaatakowany router i ułatwiając podmiotom zagrażającym wykorzystanie zebranych danych uwierzytelniających w celu uzyskania dostępu do docelowych zasobów.

Badacze opisują mątwy jako zaawansowaną formę pasywnego szkodliwego oprogramowania podsłuchującego sprzęt sieci brzegowych, łączącą różne możliwości, takie jak manipulowanie trasami, przejmowanie połączeń i pasywne wąchanie. Dzięki sprzeniewierzonemu materiałowi uwierzytelniającemu ugrupowania zagrażające nie tylko uzyskują dostęp do zasobów chmury powiązanych z celem, ale także ustanawiają przyczółek w tym ekosystemie chmury.