Malware relativo alla seppia

Un nuovo malware noto come Cuttlefish si concentra sui router di piccoli uffici e uffici domestici (SOHO), con l'obiettivo di monitorare discretamente tutto il traffico che passa attraverso questi dispositivi e raccogliere dati di autenticazione dalle richieste HTTP GET e POST.

Questo particolare malware è costruito in modo modulare e mira principalmente al furto di informazioni di autenticazione dalle richieste Web che passano attraverso il router sulla rete locale (LAN). Inoltre, possiede la capacità di eseguire il dirottamento DNS e HTTP per le connessioni all'interno dello spazio IP privato, tipicamente associato alle comunicazioni di rete interne.

Ci sono indicazioni dal codice sorgente che suggeriscono somiglianze con un cluster di attività precedentemente identificato noto come HiatusRAT , sebbene finora non sia stato osservato alcun caso di vittimologia condivisa. Sembra che queste due operazioni siano attive contemporaneamente.

Vettore di infezione per compromettere i dispositivi con il malware Cuttlefish

Cuttlefish è attivo almeno dal 27 luglio 2023, con la sua ultima campagna che va da ottobre 2023 ad aprile 2024. Durante questo periodo, ha preso di mira principalmente 600 indirizzi IP univoci collegati a due fornitori di telecomunicazioni turchi.

Il metodo specifico utilizzato per l'accesso iniziale alle apparecchiature di rete compromesse rimane poco chiaro. Tuttavia, una volta stabilito un punto d'appoggio, viene distribuito uno script bash per raccogliere i dati dell'host, inclusi/ecc., contenuti, processi in esecuzione, connessioni attive e montaggi. Queste informazioni vengono quindi inviate a un dominio controllato dall'autore della minaccia ("kkthreas.com/upload"). Successivamente scarica ed esegue il payload Cuttlefish da un server dedicato basato sull'architettura specifica del router (ad esempio Arm, mips32 e mips64, i386, i386_i686, i386_x64, ecc.).

Il malware Cuttlefish può compromettere le credenziali cruciali delle vittime

Una caratteristica distintiva di questo malware è la sua capacità di sniffing passivo progettata specificamente per prendere di mira i dati di autenticazione provenienti da servizi cloud pubblici come Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare e BitBucket, ottenuta attraverso un esteso Berkeley Packet Filter (eBPF ).

Il malware funziona in base a un set di regole che lo indirizza a dirottare il traffico diretto a un indirizzo IP privato o ad attivare una funzione sniffer per il traffico diretto a un IP pubblico, consentendo il furto di credenziali in condizioni specifiche. Le regole di dirottamento vengono recuperate e aggiornate da un server Command-and-Control (C2) creato a tale scopo, con una connessione sicura utilizzando un certificato RSA incorporato.

Inoltre, il malware può agire come proxy o VPN, consentendo la trasmissione dei dati acquisiti attraverso il router compromesso e facilitando gli autori delle minacce nell’utilizzo delle credenziali raccolte per accedere alle risorse mirate.

I ricercatori descrivono Cuttlefish come una forma avanzata di malware di intercettazione passiva per apparecchiature di rete edge, che combina varie funzionalità come la manipolazione del percorso, il dirottamento della connessione e lo sniffing passivo. Con il materiale di autenticazione sottratto, gli autori delle minacce non solo ottengono l’accesso alle risorse cloud associate all’obiettivo, ma stabiliscono anche un punto d’appoggio all’interno di quell’ecosistema cloud.