Perisian Hasad Sotong

Satu perisian hasad baharu yang dikenali sebagai Cuttlefish memfokuskan pada penghala pejabat kecil dan pejabat rumah (SOHO), yang bertujuan untuk memantau secara berhati-hati semua trafik yang melalui peranti ini dan mengumpul data pengesahan daripada permintaan HTTP GET dan POST.

Perisian hasad khusus ini dibina dalam cara modular, terutamanya menyasarkan kecurian maklumat pengesahan daripada permintaan Web yang melalui penghala pada Rangkaian Kawasan Setempat (LAN). Selain itu, ia mempunyai keupayaan untuk melakukan rampasan DNS dan HTTP untuk sambungan dalam ruang IP peribadi, biasanya dikaitkan dengan komunikasi rangkaian dalaman.

Terdapat petunjuk daripada kod sumber yang mencadangkan persamaan dengan gugusan aktiviti yang dikenal pasti sebelum ini yang dikenali sebagai HiatusRAT , walaupun tiada kejadian pengorbanan yang dikongsi telah diperhatikan setakat ini. Nampaknya kedua-dua operasi ini aktif secara serentak.

Vektor Jangkitan untuk Mengkompromi Peranti dengan Perisian Hasad Sotong

Sotong telah aktif sejak sekurang-kurangnya 27 Julai 2023, dengan kempen terbaharunya bermula dari Oktober 2023 hingga April 2024. Dalam tempoh ini, ia menyasarkan 600 alamat IP unik yang dipautkan kepada dua penyedia telekomunikasi Turki.

Kaedah khusus yang digunakan untuk akses awal untuk menjejaskan peralatan rangkaian masih tidak jelas. Walau bagaimanapun, setelah pijakan diwujudkan, skrip bash digunakan untuk mengumpul data hos, termasuk/dsb., kandungan, proses berjalan, sambungan aktif dan lekapan. Maklumat ini kemudiannya dihantar ke domain yang dikawal oleh pelaku ancaman ('kkthreas.com/upload'). Ia kemudiannya memuat turun dan melaksanakan muatan Sotong daripada pelayan khusus berdasarkan seni bina penghala tertentu (cth, Arm, mips32, dan mips64, i386, i386_i686, i386_x64, dll).

Perisian Hasad Sotong boleh menjejaskan Kelayakan Mangsa Penting

Ciri menonjol perisian hasad ini ialah keupayaan menghidu pasifnya yang direka khusus untuk menyasarkan data pengesahan daripada perkhidmatan awan awam seperti Alicloud, Perkhidmatan Web Amazon (AWS), Lautan Digital, CloudFlare dan BitBucket, yang dicapai melalui Penapis Paket Berkeley (eBPF) lanjutan ).

Perisian hasad beroperasi berdasarkan set peraturan yang mengarahkannya sama ada merampas trafik yang terikat untuk alamat IP peribadi atau mengaktifkan fungsi penghidu untuk trafik yang menuju ke IP awam, membolehkan pencurian bukti kelayakan dalam keadaan tertentu. Peraturan rampasan diambil dan dikemas kini daripada pelayan Command-and-Control (C2) yang ditubuhkan untuk tujuan ini, dengan sambungan selamat menggunakan sijil RSA terbenam.

Selain itu, perisian hasad boleh bertindak sebagai proksi atau VPN, membenarkan data yang ditangkap dihantar melalui penghala yang terjejas dan memudahkan pelaku ancaman menggunakan bukti kelayakan yang dikumpul untuk mengakses sumber yang disasarkan.

Penyelidik menggambarkan Sotong sebagai bentuk lanjutan perisian hasad mencuri dengar pasif untuk peralatan rangkaian tepi, menggabungkan pelbagai keupayaan seperti manipulasi laluan, rampasan sambungan dan hidu pasif. Dengan bahan pengesahan yang diselewengkan, pelaku ancaman bukan sahaja mendapat akses kepada sumber awan yang dikaitkan dengan sasaran, tetapi juga mewujudkan tempat berpijak dalam ekosistem awan tersebut.