Mürekkepbalığı Kötü Amaçlı Yazılım

Cuttlefish olarak bilinen yeni bir kötü amaçlı yazılım, küçük ofis ve ev ofisi (SOHO) yönlendiricilerine odaklanarak, bu cihazlardan geçen tüm trafiği gizlice izlemeyi ve HTTP GET ve POST isteklerinden kimlik doğrulama verilerini toplamayı amaçlıyor.

Bu özel kötü amaçlı yazılım modüler bir biçimde oluşturulmuştur ve öncelikle Yerel Alan Ağı (LAN) üzerindeki yönlendiriciden geçen Web isteklerinden gelen kimlik doğrulama bilgilerinin çalınmasını hedefler. Ek olarak, genellikle dahili ağ iletişimleriyle ilişkilendirilen özel IP alanı içindeki bağlantılar için DNS ve HTTP ele geçirme işlemini gerçekleştirme yeteneğine de sahiptir.

Kaynak kodunda, daha önce tanımlanmış ve HiatusRAT olarak bilinen bir faaliyet kümesiyle benzerlikler olduğunu öne süren göstergeler mevcut, ancak şu ana kadar hiçbir ortak mağduriyet örneği gözlemlenmedi. Bu iki operasyonun aynı anda aktif olduğu görülüyor.

Mürekkep Balığı Kötü Amaçlı Yazılımını İçeren Cihazların Güvenliğini Sağlayan Enfeksiyon Vektörü

Mürekkep balığı en az 27 Temmuz 2023'ten beri aktif ve son kampanyası Ekim 2023'ten Nisan 2024'e kadar sürüyor. Bu dönemde öncelikli olarak iki Türk telekom sağlayıcısına bağlı 600 benzersiz IP adresini hedef aldı.

Ağ donanımlarını tehlikeye atmak için ilk erişimde kullanılan spesifik yöntem belirsizliğini koruyor. Bununla birlikte, bir dayanak oluşturulduktan sonra içerikler, çalışan işlemler, aktif bağlantılar ve montajlar dahil olmak üzere ana bilgisayar verilerini toplamak için bir bash betiği dağıtılır. Bu bilgiler daha sonra tehdit aktörü tarafından kontrol edilen bir alana ('kkthreas.com/upload') gönderilir. Daha sonra Mürekkepbalığı veri yükünü belirli yönlendirici mimarisine (örneğin, Arm, mips32 ve mips64, i386, i386_i686, i386_x64, vb.) dayalı olarak özel bir sunucudan indirir ve çalıştırır.

Mürekkepbalığı Kötü Amaçlı Yazılımı Kurbanların Önemli Kimlik Bilgilerini Ele Geçirebilir

Bu kötü amaçlı yazılımın öne çıkan özelliği, genişletilmiş Berkeley Paket Filtresi (eBPF) aracılığıyla Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare ve BitBucket gibi genel bulut hizmetlerinden gelen kimlik doğrulama verilerini hedeflemek için özel olarak tasarlanmış pasif koklama yeteneğidir. ).

Kötü amaçlı yazılım, kendisini ya özel bir IP adresine bağlı trafiği ele geçirmeye ya da genel bir IP'ye giden trafik için bir yoklama işlevini etkinleştirerek belirli koşullar altında kimlik bilgilerinin çalınmasını sağlayan bir kural kümesine dayalı olarak çalışır. Ele geçirme kuralları, bu amaç için oluşturulmuş bir Komuta ve Kontrol (C2) sunucusundan, yerleşik bir RSA sertifikası kullanılarak güvenli bir bağlantıyla alınır ve güncellenir.

Dahası, kötü amaçlı yazılım bir proxy veya VPN görevi görerek, yakalanan verilerin ele geçirilen yönlendirici aracılığıyla iletilmesine olanak tanıyabilir ve tehdit aktörlerinin, hedeflenen kaynaklara erişmek için toplanan kimlik bilgilerini kullanmasını kolaylaştırabilir.

Araştırmacılar Cuttlefish'i, rota manipülasyonu, bağlantı ele geçirme ve pasif koklama gibi çeşitli yetenekleri bir araya getiren, uç ağ ekipmanlarına yönelik pasif gizlice dinleme kötü amaçlı yazılımın gelişmiş bir biçimi olarak tanımlıyor. Tehdit aktörleri, uygunsuz şekilde kullanılan kimlik doğrulama malzemesiyle yalnızca hedefle ilişkili bulut kaynaklarına erişim sağlamakla kalmıyor, aynı zamanda bu bulut ekosisteminde bir dayanak noktası da oluşturuyor.