Sepijos kenkėjiška programa

Nauja kenkėjiška programa, žinoma kaip sepijos, orientuota į mažo biuro ir namų biuro (SOHO) maršrutizatorius, siekiant diskretiškai stebėti visą srautą, einantį per šiuos įrenginius, ir rinkti autentifikavimo duomenis iš HTTP GET ir POST užklausų.

Ši konkreti kenkėjiška programa sukurta moduliniu būdu, pirmiausia nukreipiant į autentifikavimo informacijos vagystę iš žiniatinklio užklausų, perduodamų per maršrutizatorių vietiniame tinkle (LAN). Be to, jis turi galimybę atlikti DNS ir HTTP užgrobimą ryšiams privačioje IP erdvėje, paprastai susijusiam su vidinio tinklo ryšiu.

Yra šaltinio kodo požymių, rodančių panašumus su anksčiau nustatyta veiklos grupe, vadinama HiatusRAT , nors iki šiol nepastebėta jokių bendros viktimologijos atvejų. Atrodo, kad šios dvi operacijos yra aktyvios vienu metu.

Infekcijos vektorius, skirtas pažeisti įrenginius su Sepijos kenkėjiška programa

Sepijos buvo aktyvios mažiausiai nuo 2023 m. liepos 27 d., o paskutinė kampanija tęsėsi nuo 2023 m. spalio mėn. iki 2024 m. balandžio mėn. Per šį laikotarpį ji pirmiausia buvo skirta 600 unikalių IP adresų, susietų su dviem Turkijos telekomunikacijų paslaugų teikėjais.

Konkretus metodas, naudojamas pirminei prieigai prie pažeistos tinklo įrangos, lieka neaiškus. Tačiau nustačius atramą, imamas bash scenarijus pagrindinio kompiuterio duomenims, įskaitant/tt, turinį, vykdomus procesus, aktyvius ryšius ir prijungimus rinkti. Tada ši informacija siunčiama į domeną, kurį kontroliuoja grėsmės veikėjas (kkthreas.com/upload). Vėliau ji atsisiunčia ir vykdo sepijos naudingąją apkrovą iš tam skirto serverio, remdamasi konkrečia maršrutizatoriaus architektūra (pvz., Arm, mips32 ir mips64, i386, i386_i686, i386_x64 ir kt.).

Kenkėjiška sepijos programa gali pakenkti svarbiausių aukų įgaliojimams

Išskirtinė šios kenkėjiškos programos savybė yra jos pasyvaus uostymo galimybė, sukurta specialiai autentifikavimo duomenims iš viešųjų debesies paslaugų, tokių kaip „Alicloud“, „Amazon Web Services“ (AWS), „Digital Ocean“, „CloudFlare“ ir „BitBucket“, pasiekiama naudojant išplėstinį Berkeley paketų filtrą (eBPF). ).

Kenkėjiška programa veikia remdamasi taisyklių rinkiniu, kuris nukreipia jai užgrobti srautą, nukreiptą į privatų IP adresą, arba suaktyvinti srauto, nukreipiančio į viešąjį IP, uostymo funkciją, leidžiančią tam tikromis sąlygomis pavogti kredencialus. Užgrobimo taisyklės nuskaitomos ir atnaujinamos iš šiuo tikslu sukurto komandų ir valdymo (C2) serverio, naudojant saugų ryšį naudojant įterptąjį RSA sertifikatą.

Be to, kenkėjiška programa gali veikti kaip tarpinis serveris arba VPN, leidžiantis fiksuotus duomenis perduoti per pažeistą maršruto parinktuvą ir palengvinti grėsmės subjektams naudoti surinktus kredencialus pasiekti tikslinius išteklius.

Tyrėjai apibūdina sepiją kaip pažangią pasyvaus pasiklausymo kenkėjišką programinę įrangą, skirtą krašto tinklų įrangai, jungiančią įvairias galimybes, tokias kaip manipuliavimas maršrutu, ryšio užgrobimas ir pasyvus uostymas. Turėdami neteisėtai pasisavintą autentifikavimo medžiagą, grėsmės veikėjai ne tik gauna prieigą prie debesies išteklių, susijusių su taikiniu, bet ir įsitvirtina toje debesų ekosistemoje.