Malware pentru sepie

Un nou malware cunoscut sub numele de Cuttlefish se concentrează pe routerele mici de birou și birou de acasă (SOHO), având ca scop monitorizarea discretă a întregului trafic care trece prin aceste dispozitive și colectarea datelor de autentificare din solicitările HTTP GET și POST.

Acest malware special este construit într-o manieră modulară, vizând în primul rând furtul informațiilor de autentificare de la solicitările Web care trec prin routerul din rețeaua locală (LAN). În plus, are capacitatea de a efectua deturnare DNS și HTTP pentru conexiunile din spațiul IP privat, asociate de obicei cu comunicațiile interne de rețea.

Există indicii din codul sursă care sugerează asemănări cu un grup de activitate identificat anterior, cunoscut sub numele de HiatusRAT , deși până acum nu au fost observate cazuri de victimologie partajată. Se pare că aceste două operațiuni sunt active simultan.

Vector de infecție pentru dispozitive compromițătoare cu programul malware Cuttlefish

Cuttlefish a fost activă cel puțin din 27 iulie 2023, cea mai recentă campanie a sa se întinde din octombrie 2023 până în aprilie 2024. În această perioadă, a vizat în principal 600 de adrese IP unice legate de doi furnizori de telecomunicații turci.

Metoda specifică utilizată pentru accesul inițial la echipamentele de rețea compromite rămâne neclară. Cu toate acestea, odată ce un punct de sprijin este stabilit, un script bash este implementat pentru a colecta date gazdă, inclusiv/etc., conținut, procese în execuție, conexiuni active și monturi. Aceste informații sunt apoi trimise către un domeniu controlat de actorul amenințării („kkthreas.com/upload”). Ulterior, descarcă și execută încărcătura utilă Cuttlefish de pe un server dedicat pe baza arhitecturii specifice routerului (de exemplu, Arm, mips32 și mips64, i386, i386_i686, i386_x64 etc).

Programul malware Cuttlefish poate compromite acreditările esențiale ale victimelor

O caracteristică remarcabilă a acestui malware este capacitatea sa de sniffing pasiv concepută special pentru a viza datele de autentificare de la servicii publice cloud precum Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare și BitBucket, obținută printr-un filtru de pachete Berkeley extins (eBPF). ).

Malware-ul funcționează pe baza unui set de reguli care îl direcționează fie să deturneze traficul destinat unei adrese IP private, fie să activeze o funcție de sniffer pentru traficul care se îndreaptă către o IP publică, permițând furtul de acreditări în anumite condiții. Regulile de deturnare sunt preluate și actualizate de pe un server Command-and-Control (C2) stabilit în acest scop, cu o conexiune securizată folosind un certificat RSA încorporat.

Mai mult, malware-ul poate acționa ca un proxy sau VPN, permițând transmiterea datelor capturate prin routerul compromis și facilitând actorilor amenințări utilizarea acreditărilor colectate pentru a accesa resursele vizate.

Cercetătorii descriu Cuttlefish ca o formă avansată de malware pasiv de interceptare pentru echipamentele de rețea de margine, combinând diferite capabilități, cum ar fi manipularea rutei, deturnarea conexiunii și sniffing pasiv. Cu materialul de autentificare deturnat, actorii amenințărilor nu numai că obțin acces la resursele cloud asociate țintei, ci și stabilesc un punct de sprijin în acel ecosistem cloud.