కటిల్ ఫిష్ మాల్వేర్

కటిల్ ఫిష్ అని పిలువబడే ఒక కొత్త మాల్వేర్ చిన్న ఆఫీస్ మరియు హోమ్ ఆఫీస్ (SOHO) రౌటర్‌లపై దృష్టి సారిస్తుంది, ఈ పరికరాల గుండా వెళ్లే ట్రాఫిక్‌ను వివేకంతో పర్యవేక్షించడం మరియు HTTP GET మరియు POST అభ్యర్థనల నుండి ప్రామాణీకరణ డేటాను సేకరించడం లక్ష్యంగా పెట్టుకుంది.

ఈ ప్రత్యేక మాల్వేర్ మాడ్యులర్ పద్ధతిలో నిర్మించబడింది, ప్రధానంగా లోకల్ ఏరియా నెట్‌వర్క్ (LAN)లో రౌటర్ గుండా వెళుతున్న వెబ్ అభ్యర్థనల నుండి ప్రామాణీకరణ సమాచారాన్ని దొంగిలించడాన్ని లక్ష్యంగా చేసుకుంటుంది. అదనంగా, ఇది సాధారణంగా అంతర్గత నెట్‌వర్క్ కమ్యూనికేషన్‌లతో అనుబంధించబడిన ప్రైవేట్ IP స్థలంలో కనెక్షన్‌ల కోసం DNS మరియు HTTP హైజాకింగ్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది.

సోర్స్ కోడ్ నుండి HiatusRAT అని పిలువబడే మునుపు గుర్తించబడిన కార్యాచరణ క్లస్టర్‌తో సారూప్యతలను సూచించే సూచనలు ఉన్నాయి, అయినప్పటికీ భాగస్వామ్య బాధితుల యొక్క సందర్భాలు ఇప్పటివరకు గమనించబడలేదు. ఈ రెండు కార్యకలాపాలు ఏకకాలంలో సక్రియంగా ఉన్నట్లు కనిపిస్తోంది.

కటిల్‌ఫిష్ మాల్వేర్‌తో పరికరాలను రాజీ చేయడానికి ఇన్ఫెక్షన్ వెక్టర్

కటిల్ ఫిష్ కనీసం జూలై 27, 2023 నుండి యాక్టివ్‌గా ఉంది, దాని తాజా ప్రచారం అక్టోబర్ 2023 నుండి ఏప్రిల్ 2024 వరకు ఉంటుంది. ఈ కాలంలో, ఇది ప్రధానంగా రెండు టర్కిష్ టెలికాం ప్రొవైడర్‌లకు లింక్ చేయబడిన 600 ప్రత్యేక IP చిరునామాలను లక్ష్యంగా చేసుకుంది.

రాజీ నెట్‌వర్కింగ్ పరికరాలకు ప్రారంభ యాక్సెస్ కోసం ఉపయోగించే నిర్దిష్ట పద్ధతి అస్పష్టంగానే ఉంది. ఏదేమైనప్పటికీ, ఒక అడుగు స్థాపించబడిన తర్వాత, కంటెంట్‌లు, రన్నింగ్ ప్రాసెస్‌లు, యాక్టివ్ కనెక్షన్‌లు మరియు మౌంట్‌లతో సహా/మొదలైన హోస్ట్ డేటాను సేకరించడానికి ఒక బాష్ స్క్రిప్ట్ అమలు చేయబడుతుంది. ఈ సమాచారం బెదిరింపు నటుడు ('kkthreas.com/upload') ద్వారా నియంత్రించబడే డొమైన్‌కు పంపబడుతుంది. ఇది నిర్దిష్ట రౌటర్ ఆర్కిటెక్చర్ (ఉదా, ఆర్మ్, mips32 మరియు mips64, i386, i386_i686, i386_x64, మొదలైనవి) ఆధారంగా డెడికేటెడ్ సర్వర్ నుండి కటిల్ ఫిష్ పేలోడ్‌ను డౌన్‌లోడ్ చేస్తుంది మరియు అమలు చేస్తుంది.

కటిల్ ఫిష్ మాల్వేర్ కీలకమైన బాధితుల ఆధారాలతో రాజీ పడవచ్చు

Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare మరియు BitBucket వంటి పబ్లిక్ క్లౌడ్ సేవల నుండి ప్రామాణీకరణ డేటాను లక్ష్యంగా చేసుకోవడానికి ప్రత్యేకంగా రూపొందించబడిన నిష్క్రియాత్మక స్నిఫింగ్ సామర్ధ్యం ఈ మాల్వేర్ యొక్క ప్రత్యేక లక్షణం, ఇది విస్తరించిన బర్కిలీ ప్యాకెట్ ఫిల్టర్ (eBPF) ద్వారా సాధించబడుతుంది )

మాల్వేర్ నియమావళిపై ఆధారపడి పనిచేస్తుంది, ఇది ప్రైవేట్ IP చిరునామాకు కట్టుబడి ఉండే ట్రాఫిక్‌ను హైజాక్ చేయడానికి లేదా పబ్లిక్ IPకి వెళ్లే ట్రాఫిక్ కోసం స్నిఫర్ ఫంక్షన్‌ను సక్రియం చేయడానికి నిర్దేశిస్తుంది, నిర్దిష్ట పరిస్థితుల్లో ఆధారాలను దొంగిలించడానికి వీలు కల్పిస్తుంది. హైజాక్ నియమాలు పొందుపరచబడిన RSA ప్రమాణపత్రాన్ని ఉపయోగించి సురక్షిత కనెక్షన్‌తో ఈ ప్రయోజనం కోసం ఏర్పాటు చేయబడిన కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి తిరిగి పొందబడతాయి మరియు నవీకరించబడతాయి.

అంతేకాకుండా, మాల్వేర్ ప్రాక్సీ లేదా VPN వలె పని చేస్తుంది, సంగ్రహించబడిన డేటాను రాజీపడిన రౌటర్ ద్వారా ప్రసారం చేయడానికి అనుమతిస్తుంది మరియు లక్ష్యంగా ఉన్న వనరులను యాక్సెస్ చేయడానికి సేకరించిన ఆధారాలను ఉపయోగించడంలో ముప్పు నటులను సులభతరం చేస్తుంది.

ఎడ్జ్ నెట్‌వర్కింగ్ పరికరాల కోసం పాసివ్ ఈవ్‌డ్రాపింగ్ మాల్వేర్ యొక్క అధునాతన రూపంగా కటిల్ ఫిష్‌ను పరిశోధకులు వర్ణించారు, రూట్ మానిప్యులేషన్, కనెక్షన్ హైజాకింగ్ మరియు నిష్క్రియాత్మక స్నిఫింగ్ వంటి వివిధ సామర్థ్యాలను మిళితం చేస్తారు. దుర్వినియోగమైన ప్రామాణీకరణ మెటీరియల్‌తో, బెదిరింపు నటులు లక్ష్యంతో అనుబంధించబడిన క్లౌడ్ వనరులకు ప్రాప్యతను పొందడమే కాకుండా, ఆ క్లౌడ్ పర్యావరణ వ్యవస్థలో పట్టును కూడా ఏర్పరుచుకుంటారు.