Zlonamerna programska oprema Cuttlefish

Nova zlonamerna programska oprema, znana kot Cuttlefish, se osredotoča na usmerjevalnike za male pisarne in domače pisarne (SOHO), s ciljem diskretnega nadzora celotnega prometa, ki poteka skozi te naprave, in zbiranja podatkov za preverjanje pristnosti iz zahtev HTTP GET in POST.

Ta posebna zlonamerna programska oprema je zgrajena modularno in cilja predvsem na krajo podatkov za preverjanje pristnosti iz spletnih zahtev, ki gredo skozi usmerjevalnik v lokalnem omrežju (LAN). Poleg tega ima zmožnost izvajanja ugrabitve DNS in HTTP za povezave v zasebnem prostoru IP, ki je običajno povezan z notranjimi omrežnimi komunikacijami.

Obstajajo indikacije iz izvorne kode, ki kažejo na podobnosti s predhodno identificirano skupino dejavnosti, znano kot HiatusRAT , čeprav doslej niso opazili nobenih primerov skupne viktimologije. Zdi se, da sta ti dve operaciji aktivni hkrati.

Vektor okužbe za ogrožanje naprav z zlonamerno programsko opremo Cuttlefish

Sipa je aktivna vsaj od 27. julija 2023, njena zadnja kampanja pa je trajala od oktobra 2023 do aprila 2024. V tem obdobju je bila usmerjena predvsem na 600 edinstvenih naslovov IP, povezanih z dvema turškima ponudnikoma telekomunikacij.

Posebna metoda, uporabljena za začetni dostop do ogrožene omrežne opreme, ostaja nejasna. Ko pa je opora vzpostavljena, se uporabi skript bash za zbiranje podatkov o gostitelju, vključno z/itd., vsebino, tekočimi procesi, aktivnimi povezavami in priklopi. Te informacije se nato pošljejo v domeno, ki jo nadzoruje povzročitelj grožnje ('kkthreas.com/upload'). Nato prenese in izvede obremenitev Cuttlefish iz namenskega strežnika na podlagi specifične arhitekture usmerjevalnika (npr. Arm, mips32 in mips64, i386, i386_i686, i386_x64 itd.).

Zlonamerna programska oprema Cuttlefish lahko ogrozi poverilnice ključnih žrtev

Izstopajoča značilnost te zlonamerne programske opreme je njena zmožnost pasivnega vohanja, zasnovana posebej za ciljanje podatkov za preverjanje pristnosti iz javnih storitev v oblaku, kot so Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare in BitBucket, dosežena z razširjenim filtrom paketov Berkeley (eBPF). ).

Zlonamerna programska oprema deluje na podlagi nabora pravil, ki jo usmerja, da bodisi ugrabi promet, vezan na zasebni naslov IP, bodisi aktivira funkcijo vohanja za promet, usmerjen na javni IP, kar omogoča krajo poverilnic pod določenimi pogoji. Pravila za ugrabitev se pridobijo in posodobijo s strežnika Command-and-Control (C2), vzpostavljenega v ta namen, z varno povezavo z uporabo vdelanega potrdila RSA.

Poleg tega lahko zlonamerna programska oprema deluje kot proxy ali VPN, kar omogoča prenos zajetih podatkov prek ogroženega usmerjevalnika in akterjem groženj olajša uporabo zbranih poverilnic za dostop do ciljnih virov.

Raziskovalci opisujejo Cuttlefish kot napredno obliko škodljive programske opreme za pasivno prisluškovanje za robno omrežno opremo, ki združuje različne zmogljivosti, kot so manipulacija poti, ugrabitev povezave in pasivno vohanje. Z napačno prilaščenim materialom za preverjanje pristnosti akterji groženj ne pridobijo le dostopa do virov v oblaku, povezanih s tarčo, ampak tudi vzpostavijo oporo znotraj tega ekosistema v oblaku.