Programari maliciós de sípia

Un nou programari maliciós conegut com a Cuttlefish se centra en encaminadors d'oficines petites i oficines a casa (SOHO), amb l'objectiu de supervisar de manera discreta tot el trànsit que passa per aquests dispositius i recopilar dades d'autenticació de les sol·licituds HTTP GET i POST.

Aquest programari maliciós en particular es construeix de manera modular, dirigit principalment al robatori d'informació d'autenticació de les sol·licituds web que passen per l'encaminador a la xarxa d'àrea local (LAN). A més, té la capacitat de realitzar el segrest DNS i HTTP per a connexions dins de l'espai IP privat, normalment associades a comunicacions de xarxa internes.

Hi ha indicacions del codi font que suggereixen similituds amb un clúster d'activitats identificat prèviament conegut com HiatusRAT , tot i que fins ara no s'han observat casos de victimologia compartida. Sembla que aquestes dues operacions estan actives simultàniament.

Vector d'infecció per a dispositius compromesos amb el programari maliciós de sípia

Cuttlefish ha estat actiu almenys des del 27 de juliol de 2023, amb la seva darrera campanya que va d'octubre de 2023 a abril de 2024. Durant aquest període, es va dirigir principalment a 600 adreces IP úniques vinculades a dos proveïdors de telecomunicacions turcs.

El mètode específic utilitzat per a l'accés inicial als equips de xarxa compromesos encara no està clar. Tanmateix, un cop s'estableix un punt d'accés, es desplega un script bash per recollir dades de l'amfitrió, inclosos/etc., continguts, processos en execució, connexions actives i muntatges. A continuació, aquesta informació s'envia a un domini controlat per l'actor de l'amenaça ('kkthreas.com/upload'). Posteriorment baixa i executa la càrrega útil de Cuttlefish des d'un servidor dedicat basat en l'arquitectura específica del router (per exemple, Arm, mips32 i mips64, i386, i386_i686, i386_x64, etc.).

El programari maliciós de la sípia pot comprometre les credencials de les víctimes crucials

Una característica destacada d'aquest programari maliciós és la seva capacitat de rastreig passiu dissenyada específicament per orientar dades d'autenticació de serveis públics en núvol com Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare i BitBucket, aconseguit mitjançant un filtre de paquets Berkeley estès (eBPF). ).

El programari maliciós funciona en funció d'un conjunt de regles que el dirigeix a segrestar el trànsit destinat a una adreça IP privada o activar una funció de rastreig per al trànsit que es dirigeix a una IP pública, permetent el robatori de credencials en condicions específiques. Les regles de segrest es recuperen i s'actualitzen des d'un servidor d'ordres i control (C2) establert per a aquest propòsit, amb una connexió segura mitjançant un certificat RSA incrustat.

A més, el programari maliciós pot actuar com a servidor intermediari o VPN, permetent que les dades capturades es transmetin a través de l'encaminador compromès i facilitant que els actors de l'amenaça utilitzin les credencials recollides per accedir als recursos objectiu.

Els investigadors descriuen Cuttlefish com una forma avançada de programari maliciós d'escolta passiva per a equips de xarxa de punta, que combina diverses capacitats com ara la manipulació de rutes, el segrest de connexió i l'olor passiu. Amb el material d'autenticació malversat, els actors de l'amenaça no només tenen accés als recursos del núvol associats a l'objectiu, sinó que també s'estableixen en aquest ecosistema del núvol.