कटलफिश मैलवेयर

कटलफिश नामक एक नया मैलवेयर छोटे कार्यालय और घरेलू कार्यालय (एसओएचओ) राउटरों पर ध्यान केंद्रित करता है, जिसका उद्देश्य इन उपकरणों से गुजरने वाले सभी ट्रैफ़िक पर गुप्त रूप से नज़र रखना और HTTP GET और POST अनुरोधों से प्रमाणीकरण डेटा एकत्र करना है।

यह विशेष मैलवेयर मॉड्यूलर तरीके से बनाया गया है, जिसका मुख्य लक्ष्य स्थानीय क्षेत्र नेटवर्क (LAN) पर राउटर से गुजरने वाले वेब अनुरोधों से प्रमाणीकरण जानकारी की चोरी करना है। इसके अतिरिक्त, इसमें निजी IP स्पेस के भीतर कनेक्शन के लिए DNS और HTTP अपहरण करने की क्षमता है, जो आमतौर पर आंतरिक नेटवर्क संचार से जुड़ा होता है।

स्रोत कोड से संकेत मिलते हैं कि पहले से पहचाने गए गतिविधि क्लस्टर के साथ समानताएं हैं जिन्हें HiatusRAT के रूप में जाना जाता है, हालांकि अब तक साझा शिकार विज्ञान के कोई उदाहरण नहीं देखे गए हैं। ऐसा प्रतीत होता है कि ये दोनों ऑपरेशन समवर्ती रूप से सक्रिय हैं।

कटलफिश मैलवेयर से प्रभावित डिवाइसों के लिए संक्रमण वेक्टर

कटलफिश कम से कम 27 जुलाई 2023 से सक्रिय है, और इसका नवीनतम अभियान अक्टूबर 2023 से अप्रैल 2024 तक चलेगा। इस अवधि के दौरान, इसने मुख्य रूप से दो तुर्की दूरसंचार प्रदाताओं से जुड़े 600 अद्वितीय आईपी पतों को लक्षित किया।

समझौता करने वाले नेटवर्किंग उपकरणों तक प्रारंभिक पहुँच के लिए उपयोग की जाने वाली विशिष्ट विधि अभी भी अस्पष्ट है। हालाँकि, एक बार पैर जमाने के बाद, होस्ट डेटा, जिसमें/आदि, सामग्री, चल रही प्रक्रियाएँ, सक्रिय कनेक्शन और माउंट शामिल हैं, एकत्र करने के लिए एक बैश स्क्रिप्ट तैनात की जाती है। यह जानकारी फिर खतरे वाले अभिनेता ('kkthreas.com/upload') द्वारा नियंत्रित डोमेन को भेजी जाती है। यह बाद में विशिष्ट राउटर आर्किटेक्चर (जैसे, आर्म, mips32, और mips64, i386, i386_i686, i386_x64, आदि) के आधार पर एक समर्पित सर्वर से कटलफ़िश पेलोड को डाउनलोड और निष्पादित करता है।

कटलफिश मैलवेयर पीड़ितों की महत्वपूर्ण जानकारियों को खतरे में डाल सकता है

इस मैलवेयर की एक प्रमुख विशेषता इसकी निष्क्रिय स्निफिंग क्षमता है, जिसे विशेष रूप से अलीक्लाउड, अमेज़न वेब सर्विसेज (AWS), डिजिटल ओशन, क्लाउडफ्लेयर और बिटबकेट जैसी सार्वजनिक क्लाउड सेवाओं से प्रमाणीकरण डेटा को लक्षित करने के लिए डिज़ाइन किया गया है, जिसे विस्तारित बर्कले पैकेट फ़िल्टर (eBPF) के माध्यम से प्राप्त किया गया है।

मैलवेयर एक नियम-सेट के आधार पर काम करता है जो इसे या तो निजी आईपी पते के लिए बाध्य ट्रैफ़िक को हाईजैक करने या सार्वजनिक आईपी पर जाने वाले ट्रैफ़िक के लिए स्निफ़र फ़ंक्शन को सक्रिय करने का निर्देश देता है, जिससे विशिष्ट परिस्थितियों में क्रेडेंशियल्स की चोरी संभव हो जाती है। इस उद्देश्य के लिए स्थापित कमांड-एंड-कंट्रोल (C2) सर्वर से हाईजैक नियमों को पुनर्प्राप्त और अपडेट किया जाता है, जिसमें एम्बेडेड RSA प्रमाणपत्र का उपयोग करके सुरक्षित कनेक्शन होता है।

इसके अलावा, मैलवेयर प्रॉक्सी या VPN के रूप में कार्य कर सकता है, जिससे कैप्चर किए गए डेटा को समझौता किए गए राउटर के माध्यम से प्रेषित किया जा सकता है और लक्षित संसाधनों तक पहुंचने के लिए एकत्रित क्रेडेंशियल्स का उपयोग करने में खतरे पैदा करने वालों को सुविधा प्रदान की जा सकती है।

शोधकर्ताओं ने कटलफिश को एज नेटवर्किंग उपकरणों के लिए निष्क्रिय ईव्सड्रॉपिंग मैलवेयर का एक उन्नत रूप बताया है, जिसमें रूट हेरफेर, कनेक्शन अपहरण और निष्क्रिय स्निफिंग जैसी विभिन्न क्षमताएं शामिल हैं। गलत तरीके से इस्तेमाल की गई प्रमाणीकरण सामग्री के साथ, खतरे वाले अभिनेता न केवल लक्ष्य से जुड़े क्लाउड संसाधनों तक पहुंच प्राप्त करते हैं, बल्कि उस क्लाउड पारिस्थितिकी तंत्र के भीतर पैर भी जमा लेते हैं।