కటిల్ ఫిష్ మాల్వేర్
కటిల్ ఫిష్ అని పిలువబడే ఒక కొత్త మాల్వేర్ చిన్న ఆఫీస్ మరియు హోమ్ ఆఫీస్ (SOHO) రౌటర్లపై దృష్టి సారిస్తుంది, ఈ పరికరాల గుండా వెళ్లే ట్రాఫిక్ను వివేకంతో పర్యవేక్షించడం మరియు HTTP GET మరియు POST అభ్యర్థనల నుండి ప్రామాణీకరణ డేటాను సేకరించడం లక్ష్యంగా పెట్టుకుంది.
ఈ ప్రత్యేక మాల్వేర్ మాడ్యులర్ పద్ధతిలో నిర్మించబడింది, ప్రధానంగా లోకల్ ఏరియా నెట్వర్క్ (LAN)లో రౌటర్ గుండా వెళుతున్న వెబ్ అభ్యర్థనల నుండి ప్రామాణీకరణ సమాచారాన్ని దొంగిలించడాన్ని లక్ష్యంగా చేసుకుంటుంది. అదనంగా, ఇది సాధారణంగా అంతర్గత నెట్వర్క్ కమ్యూనికేషన్లతో అనుబంధించబడిన ప్రైవేట్ IP స్థలంలో కనెక్షన్ల కోసం DNS మరియు HTTP హైజాకింగ్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది.
సోర్స్ కోడ్ నుండి HiatusRAT అని పిలువబడే మునుపు గుర్తించబడిన కార్యాచరణ క్లస్టర్తో సారూప్యతలను సూచించే సూచనలు ఉన్నాయి, అయినప్పటికీ భాగస్వామ్య బాధితుల యొక్క సందర్భాలు ఇప్పటివరకు గమనించబడలేదు. ఈ రెండు కార్యకలాపాలు ఏకకాలంలో సక్రియంగా ఉన్నట్లు కనిపిస్తోంది.
కటిల్ఫిష్ మాల్వేర్తో పరికరాలను రాజీ చేయడానికి ఇన్ఫెక్షన్ వెక్టర్
కటిల్ ఫిష్ కనీసం జూలై 27, 2023 నుండి యాక్టివ్గా ఉంది, దాని తాజా ప్రచారం అక్టోబర్ 2023 నుండి ఏప్రిల్ 2024 వరకు ఉంటుంది. ఈ కాలంలో, ఇది ప్రధానంగా రెండు టర్కిష్ టెలికాం ప్రొవైడర్లకు లింక్ చేయబడిన 600 ప్రత్యేక IP చిరునామాలను లక్ష్యంగా చేసుకుంది.
రాజీ నెట్వర్కింగ్ పరికరాలకు ప్రారంభ యాక్సెస్ కోసం ఉపయోగించే నిర్దిష్ట పద్ధతి అస్పష్టంగానే ఉంది. ఏదేమైనప్పటికీ, ఒక అడుగు స్థాపించబడిన తర్వాత, కంటెంట్లు, రన్నింగ్ ప్రాసెస్లు, యాక్టివ్ కనెక్షన్లు మరియు మౌంట్లతో సహా/మొదలైన హోస్ట్ డేటాను సేకరించడానికి ఒక బాష్ స్క్రిప్ట్ అమలు చేయబడుతుంది. ఈ సమాచారం బెదిరింపు నటుడు ('kkthreas.com/upload') ద్వారా నియంత్రించబడే డొమైన్కు పంపబడుతుంది. ఇది నిర్దిష్ట రౌటర్ ఆర్కిటెక్చర్ (ఉదా, ఆర్మ్, mips32 మరియు mips64, i386, i386_i686, i386_x64, మొదలైనవి) ఆధారంగా డెడికేటెడ్ సర్వర్ నుండి కటిల్ ఫిష్ పేలోడ్ను డౌన్లోడ్ చేస్తుంది మరియు అమలు చేస్తుంది.
కటిల్ ఫిష్ మాల్వేర్ కీలకమైన బాధితుల ఆధారాలతో రాజీ పడవచ్చు
Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare మరియు BitBucket వంటి పబ్లిక్ క్లౌడ్ సేవల నుండి ప్రామాణీకరణ డేటాను లక్ష్యంగా చేసుకోవడానికి ప్రత్యేకంగా రూపొందించబడిన నిష్క్రియాత్మక స్నిఫింగ్ సామర్ధ్యం ఈ మాల్వేర్ యొక్క ప్రత్యేక లక్షణం, ఇది విస్తరించిన బర్కిలీ ప్యాకెట్ ఫిల్టర్ (eBPF) ద్వారా సాధించబడుతుంది )
మాల్వేర్ నియమావళిపై ఆధారపడి పనిచేస్తుంది, ఇది ప్రైవేట్ IP చిరునామాకు కట్టుబడి ఉండే ట్రాఫిక్ను హైజాక్ చేయడానికి లేదా పబ్లిక్ IPకి వెళ్లే ట్రాఫిక్ కోసం స్నిఫర్ ఫంక్షన్ను సక్రియం చేయడానికి నిర్దేశిస్తుంది, నిర్దిష్ట పరిస్థితుల్లో ఆధారాలను దొంగిలించడానికి వీలు కల్పిస్తుంది. హైజాక్ నియమాలు పొందుపరచబడిన RSA ప్రమాణపత్రాన్ని ఉపయోగించి సురక్షిత కనెక్షన్తో ఈ ప్రయోజనం కోసం ఏర్పాటు చేయబడిన కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి తిరిగి పొందబడతాయి మరియు నవీకరించబడతాయి.
అంతేకాకుండా, మాల్వేర్ ప్రాక్సీ లేదా VPN వలె పని చేస్తుంది, సంగ్రహించబడిన డేటాను రాజీపడిన రౌటర్ ద్వారా ప్రసారం చేయడానికి అనుమతిస్తుంది మరియు లక్ష్యంగా ఉన్న వనరులను యాక్సెస్ చేయడానికి సేకరించిన ఆధారాలను ఉపయోగించడంలో ముప్పు నటులను సులభతరం చేస్తుంది.
ఎడ్జ్ నెట్వర్కింగ్ పరికరాల కోసం పాసివ్ ఈవ్డ్రాపింగ్ మాల్వేర్ యొక్క అధునాతన రూపంగా కటిల్ ఫిష్ను పరిశోధకులు వర్ణించారు, రూట్ మానిప్యులేషన్, కనెక్షన్ హైజాకింగ్ మరియు నిష్క్రియాత్మక స్నిఫింగ్ వంటి వివిధ సామర్థ్యాలను మిళితం చేస్తారు. దుర్వినియోగమైన ప్రామాణీకరణ మెటీరియల్తో, బెదిరింపు నటులు లక్ష్యంతో అనుబంధించబడిన క్లౌడ్ వనరులకు ప్రాప్యతను పొందడమే కాకుండా, ఆ క్లౌడ్ పర్యావరణ వ్యవస్థలో పట్టును కూడా ఏర్పరుచుకుంటారు.