มัลแวร์ปลาหมึก

มัลแวร์ตัวใหม่ที่เรียกว่า Cuttlefish มุ่งเน้นไปที่เราเตอร์ในสำนักงานขนาดเล็กและโฮมออฟฟิศ (SOHO) โดยมีจุดมุ่งหมายเพื่อตรวจสอบการรับส่งข้อมูลทั้งหมดที่ส่งผ่านอุปกรณ์เหล่านี้อย่างรอบคอบ และรวบรวมข้อมูลการตรวจสอบสิทธิ์จากคำขอ HTTP GET และ POST

มัลแวร์เฉพาะนี้สร้างขึ้นในรูปแบบโมดูลาร์ โดยมีเป้าหมายหลักคือการขโมยข้อมูลการตรวจสอบสิทธิ์จากคำขอเว็บที่ส่งผ่านเราเตอร์บนเครือข่ายท้องถิ่น (LAN) นอกจากนี้ยังมีความสามารถในการจี้ DNS และ HTTP สำหรับการเชื่อมต่อภายในพื้นที่ IP ส่วนตัว ซึ่งโดยทั่วไปจะเกี่ยวข้องกับการสื่อสารเครือข่ายภายใน

มีข้อบ่งชี้จากซอร์สโค้ดที่แนะนำความคล้ายคลึงกับกลุ่มกิจกรรมที่ระบุก่อนหน้านี้ที่เรียกว่า HiatusRAT แม้ว่าจนถึงขณะนี้ยังไม่มีกรณีของเหยื่อร่วมกันก็ตาม ดูเหมือนว่าการดำเนินการทั้งสองนี้มีการใช้งานพร้อมกัน

การติดเชื้อเวคเตอร์สำหรับอุปกรณ์ประนีประนอมกับมัลแวร์ปลาหมึก

Cuttlefish เปิดใช้งานตั้งแต่อย่างน้อยวันที่ 27 กรกฎาคม 2023 โดยมีแคมเปญล่าสุดตั้งแต่เดือนตุลาคม 2023 ถึงเมษายน 2024 ในช่วงเวลานี้ โดยมีเป้าหมายหลักคือที่อยู่ IP ที่ไม่ซ้ำกัน 600 แห่งที่เชื่อมโยงกับผู้ให้บริการโทรคมนาคมของตุรกีสองราย

วิธีการเฉพาะที่ใช้สำหรับการเข้าถึงครั้งแรกเพื่อประนีประนอมอุปกรณ์เครือข่ายยังไม่ชัดเจน อย่างไรก็ตาม เมื่อตั้งหลักแล้ว สคริปต์ทุบตีจะถูกปรับใช้เพื่อรวบรวมข้อมูลโฮสต์ รวมถึง/อื่นๆ เนื้อหา กระบวนการที่ทำงานอยู่ การเชื่อมต่อที่ใช้งานอยู่ และการติดตั้ง จากนั้นข้อมูลนี้จะถูกส่งไปยังโดเมนที่ควบคุมโดยผู้คุกคาม ('kkthreas.com/upload') ต่อมาจะดาวน์โหลดและดำเนินการเพย์โหลด Cuttlefish จากเซิร์ฟเวอร์เฉพาะตามสถาปัตยกรรมเราเตอร์เฉพาะ (เช่น Arm, mips32 และ mips64, i386, i386_i686, i386_x64 ฯลฯ)

มัลแวร์ปลาหมึกอาจประนีประนอมข้อมูลประจำตัวของเหยื่อผู้เคราะห์ร้าย

คุณลักษณะที่โดดเด่นของมัลแวร์นี้คือความสามารถในการดักจับแบบพาสซีฟที่ออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายข้อมูลการตรวจสอบสิทธิ์จากบริการคลาวด์สาธารณะ เช่น Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare และ BitBucket ซึ่งทำได้ผ่าน Berkeley Packet Filter (eBPF) แบบขยาย ).

มัลแวร์ทำงานตามกฎชุดที่กำหนดให้มีการแย่งชิงการรับส่งข้อมูลที่ผูกไว้กับที่อยู่ IP ส่วนตัวหรือเปิดใช้งานฟังก์ชันดมกลิ่นสำหรับการรับส่งข้อมูลที่มุ่งหน้าไปยัง IP สาธารณะ ทำให้สามารถขโมยข้อมูลประจำตัวภายใต้เงื่อนไขเฉพาะได้ กฎการจี้จะถูกดึงและอัปเดตจากเซิร์ฟเวอร์ Command-and-Control (C2) ที่สร้างขึ้นเพื่อจุดประสงค์นี้ โดยมีการเชื่อมต่อที่ปลอดภัยโดยใช้ใบรับรอง RSA ที่ฝังไว้

นอกจากนี้ มัลแวร์ยังสามารถทำหน้าที่เป็นพร็อกซีหรือ VPN ช่วยให้ข้อมูลที่บันทึกไว้ถูกส่งผ่านเราเตอร์ที่ถูกบุกรุก และอำนวยความสะดวกให้กับผู้แสดงภัยคุกคามในการใช้ข้อมูลประจำตัวที่รวบรวมไว้เพื่อเข้าถึงทรัพยากรเป้าหมาย

นักวิจัยอธิบายว่า Cuttlefish เป็นรูปแบบขั้นสูงของมัลแวร์ดักฟังแบบพาสซีฟสำหรับอุปกรณ์เครือข่ายเอดจ์ โดยผสมผสานความสามารถต่างๆ เข้าด้วยกัน เช่น การจัดการเส้นทาง การแย่งชิงการเชื่อมต่อ และการดมกลิ่นแบบพาสซีฟ ด้วยวัสดุการตรวจสอบสิทธิ์ที่ยักยอก ผู้ก่อภัยคุกคามไม่เพียงแต่สามารถเข้าถึงทรัพยากรคลาวด์ที่เกี่ยวข้องกับเป้าหมายเท่านั้น แต่ยังสร้างฐานที่มั่นภายในระบบนิเวศคลาวด์นั้นด้วย