Cuttlefish Malware

Ang isang bagong malware na kilala bilang Cuttlefish ay tumutuon sa mga maliliit na opisina at home office (SOHO) na mga router, na naglalayong maingat na subaybayan ang lahat ng trapikong dumadaan sa mga device na ito at mangolekta ng data ng pagpapatotoo mula sa HTTP GET at POST na mga kahilingan.

Ang partikular na malware na ito ay binuo sa isang modular na paraan, pangunahing nagta-target sa pagnanakaw ng impormasyon sa pagpapatunay mula sa mga kahilingan sa Web na dumadaan sa router sa Local Area Network (LAN). Bukod pa rito, nagtataglay ito ng kakayahang magsagawa ng DNS at HTTP hijacking para sa mga koneksyon sa loob ng pribadong espasyo ng IP, na karaniwang nauugnay sa mga panloob na komunikasyon sa network.

May mga indikasyon mula sa source code na nagmumungkahi ng mga pagkakatulad sa isang dating natukoy na cluster ng aktibidad na kilala bilang HiatusRAT , bagama't walang mga pagkakataon ng nakabahaging biktima na naobserbahan sa ngayon. Lumilitaw na ang dalawang operasyong ito ay magkasabay na aktibo.

Vector ng Infection para sa Mga Nakompromisong Device gamit ang Cuttlefish Malware

Ang cuttlefish ay naging aktibo mula noong hindi bababa sa Hulyo 27, 2023, kasama ang pinakabagong kampanya nito mula Oktubre 2023 hanggang Abril 2024. Sa panahong ito, pangunahin nitong tina-target ang 600 natatanging IP address na naka-link sa dalawang Turkish telecom provider.

Ang partikular na paraan na ginamit para sa paunang pag-access sa kompromiso sa networking equipment ay nananatiling hindi maliwanag. Gayunpaman, kapag ang isang foothold ay naitatag, isang bash script ay i-deploy upang mangolekta ng data ng host, kasama ang/atbp., mga nilalaman, tumatakbong mga proseso, aktibong koneksyon, at mga mount. Ang impormasyong ito ay ipapadala sa isang domain na kinokontrol ng aktor ng pagbabanta ('kkthreas.com/upload'). Kasunod nito, dina-download at isinasagawa ang Cuttlefish payload mula sa isang dedikadong server batay sa partikular na arkitektura ng router (hal., Arm, mips32, at mips64, i386, i386_i686, i386_x64, atbp).

Maaaring Ikompromiso ng Cuttlefish Malware ang Mga Kredensyal ng Mga Mahalagang Biktima

Ang isang natatanging tampok ng malware na ito ay ang passive sniffing na kakayahan nito na partikular na idinisenyo upang i-target ang data ng pagpapatotoo mula sa mga pampublikong serbisyo sa cloud tulad ng Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare, at BitBucket, na nakamit sa pamamagitan ng isang pinalawig na Berkeley Packet Filter (eBPF). ).

Gumagana ang malware batay sa isang ruleset na nagdidirekta dito na i-hijack ang trapiko na nakatali para sa isang pribadong IP address o i-activate ang isang sniffer function para sa trapiko na patungo sa isang pampublikong IP, na nagbibigay-daan sa pagnanakaw ng mga kredensyal sa ilalim ng mga partikular na kundisyon. Ang mga panuntunan sa pag-hijack ay kinukuha at ina-update mula sa isang Command-and-Control (C2) server na itinatag para sa layuning ito, na may secure na koneksyon gamit ang isang naka-embed na RSA certificate.

Bukod dito, ang malware ay maaaring kumilos bilang isang proxy o VPN, na nagbibigay-daan sa na-capture na data na maipadala sa pamamagitan ng nakompromisong router at nagpapadali sa mga aktor ng pagbabanta sa paggamit ng mga nakolektang kredensyal upang ma-access ang mga naka-target na mapagkukunan.

Inilalarawan ng mga mananaliksik ang Cuttlefish bilang isang advanced na anyo ng passive eavesdropping malware para sa edge networking equipment, na pinagsasama-sama ang iba't ibang mga kakayahan tulad ng pagmamanipula ng ruta, pag-hijack ng koneksyon at passive sniffing. Sa maling paggamit ng materyal sa pagpapatotoo, hindi lamang nagkakaroon ng access ang mga aktor ng pagbabanta sa mga mapagkukunan ng ulap na nauugnay sa target, ngunit nagtatag din ng isang foothold sa loob ng cloud ecosystem na iyon.