Sēpiju ļaunprātīga programmatūra

Jauna ļaunprātīga programmatūra, kas pazīstama ar nosaukumu Cuttlefish, koncentrējas uz mazo biroju un mājas biroju (SOHO) maršrutētājiem, kuru mērķis ir diskrēti uzraudzīt visu trafiku, kas iet caur šīm ierīcēm, un apkopot autentifikācijas datus no HTTP GET un POST pieprasījumiem.

Šī ļaunprogrammatūra ir veidota modulārā veidā, un tā galvenokārt ir vērsta uz autentifikācijas informācijas zādzību no tīmekļa pieprasījumiem, kas iet caur maršrutētāju lokālajā tīklā (LAN). Turklāt tam ir iespēja veikt DNS un HTTP nolaupīšanu savienojumiem privātajā IP telpā, kas parasti ir saistīta ar iekšējā tīkla sakariem.

Ir norādes no pirmkoda, kas liecina par līdzībām ar iepriekš identificētu darbību kopu, kas pazīstama kā HiatusRAT , lai gan līdz šim nav novēroti dalītas viktimoloģijas gadījumi. Šķiet, ka šīs divas darbības vienlaikus ir aktīvas.

Infekcijas vektors kompromitējošām ierīcēm ar sēpiju ļaunprogrammatūru

Sēpija ir bijusi aktīva vismaz kopš 2023. gada 27. jūlija, un tās jaunākā kampaņa ilga no 2023. gada oktobra līdz 2024. gada aprīlim. Šajā periodā tā galvenokārt bija vērsta uz 600 unikālām IP adresēm, kas saistītas ar diviem Turcijas telekomunikāciju pakalpojumu sniedzējiem.

Konkrētā metode, kas izmantota sākotnējai piekļuvei kompromitējošam tīkla aprīkojumam, joprojām nav skaidra. Tomēr, tiklīdz ir izveidots pamats, tiek izvietots bash skripts, lai apkopotu resursdatora datus, tostarp/u.c., saturu, darbības procesus, aktīvos savienojumus un stiprinājumus. Pēc tam šī informācija tiek nosūtīta uz domēnu, kuru kontrolē apdraudējuma dalībnieks (“kkthreas.com/upload”). Pēc tam tas lejupielādē un izpilda sēpiju lietderīgo slodzi no speciāla servera, pamatojoties uz konkrēto maršrutētāja arhitektūru (piemēram, Arm, mips32 un mips64, i386, i386_i686, i386_x64 utt.).

Sēpiju ļaunprogrammatūra var apdraudēt būtisku upuru akreditācijas datus

Šīs ļaunprogrammatūras izcilā iezīme ir tās pasīvās šņaukšanas iespēja, kas īpaši izstrādāta, lai mērķētu autentifikācijas datus no tādiem publiskiem mākoņpakalpojumiem kā Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare un BitBucket, kas panākts, izmantojot paplašināto Berkeley pakešu filtru (eBPF). ).

Ļaunprātīga programmatūra darbojas, pamatojoties uz kārtulu kopu, kas to novirza uz privātas IP adreses trafika nolaupīšanu vai aktivizē sniffer funkciju trafika virzībai uz publisku IP, ļaujot konkrētos apstākļos nozagt akreditācijas datus. Nolaupīšanas noteikumi tiek izgūti un atjaunināti no Command-and-Control (C2) servera, kas izveidots šim nolūkam, ar drošu savienojumu, izmantojot iegulto RSA sertifikātu.

Turklāt ļaunprogrammatūra var darboties kā starpniekserveris vai VPN, ļaujot pārsūtīt tvertos datus, izmantojot apdraudēto maršrutētāju, un atvieglojot apdraudējuma dalībniekiem izmantot savāktos akreditācijas datus, lai piekļūtu mērķa resursiem.

Pētnieki apraksta Sēpiju kā progresīvu pasīvās noklausīšanās ļaunprogrammatūru veidu tīkla iekārtām, kas apvieno dažādas iespējas, piemēram, maršruta manipulācijas, savienojuma nolaupīšanu un pasīvo šņaukšanu. Izmantojot nelikumīgi piesavināto autentifikācijas materiālu, apdraudējuma dalībnieki ne tikai iegūst piekļuvi mākoņa resursiem, kas saistīti ar mērķi, bet arī nostiprina stabilitāti šajā mākoņu ekosistēmā.