Malware i sepjes

Një malware i ri i njohur si Cuttlefish fokusohet në ruterat e zyrave të vogla dhe të zyrave shtëpiake (SOHO), duke synuar të monitorojë në mënyrë diskrete të gjithë trafikun që kalon nëpër këto pajisje dhe të mbledhë të dhëna vërtetimi nga kërkesat HTTP GET dhe POST.

Ky malware i veçantë është ndërtuar në një mënyrë modulare, duke synuar kryesisht vjedhjen e informacionit të vërtetimit nga kërkesat në ueb që kalojnë përmes ruterit në Rrjetin Lokal të Zonës (LAN). Për më tepër, ai posedon aftësinë për të kryer rrëmbimin e DNS dhe HTTP për lidhjet brenda hapësirës private IP, zakonisht të lidhura me komunikimet e brendshme të rrjetit.

Ka indikacione nga kodi burimor që sugjerojnë ngjashmëri me një grup aktivitetesh të identifikuar më parë të njohur si HiatusRAT , megjithëse deri më tani nuk janë vërejtur raste të viktimologjisë së përbashkët. Duket se këto dy operacione janë njëkohësisht aktive.

Vektor infeksioni për pajisjet komprometuese me malware të sepjes

Sepja ka qenë aktive që nga të paktën 27 korriku 2023, me fushatën e saj të fundit që shtrihet nga tetori 2023 deri në prill 2024. Gjatë kësaj periudhe, ai synoi kryesisht 600 adresa IP unike të lidhura me dy ofrues të telekomit turq.

Metoda specifike e përdorur për aksesin fillestar në pajisjet komprometuese të rrjetit mbetet e paqartë. Megjithatë, pasi të krijohet një bazë, vendoset një skrip bash për të mbledhur të dhëna të hostit, duke përfshirë/etj., përmbajtjen, proceset e ekzekutimit, lidhjet aktive dhe montimet. Ky informacion më pas dërgohet në një domen të kontrolluar nga aktori i kërcënimit ('kkthreas.com/upload'). Më pas shkarkon dhe ekzekuton ngarkesën e Cuttlefish nga një server i dedikuar bazuar në arkitekturën specifike të ruterit (p.sh. Arm, mips32 dhe mips64, i386, i386_i686, i386_x64, etj.).

Malware i Sepjes mund të komprometojë kredencialet vendimtare të viktimave

Një tipar dallues i këtij malware është aftësia e tij e nuhatjes pasive e krijuar posaçërisht për të synuar të dhënat e vërtetimit nga shërbimet publike cloud si Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare dhe BitBucket, e arritur përmes një filtri të zgjeruar të paketave Berkeley (eBPF ).

Malware funksionon bazuar në një grup rregullash që e drejton atë ose të rrëmbejë trafikun e lidhur për një adresë IP private ose të aktivizojë një funksion sniffer për trafikun që shkon në një IP publike, duke mundësuar vjedhjen e kredencialeve në kushte specifike. Rregullat e rrëmbimit merren dhe përditësohen nga një server Command-and-Control (C2) i krijuar për këtë qëllim, me një lidhje të sigurt duke përdorur një certifikatë RSA të integruar.

Për më tepër, malware mund të veprojë si një përfaqësues ose VPN, duke lejuar që të dhënat e kapura të transmetohen përmes ruterit të komprometuar dhe duke lehtësuar aktorët e kërcënimit në përdorimin e kredencialeve të mbledhura për të hyrë në burimet e synuara.

Studiuesit e përshkruajnë Cuttlefish si një formë të avancuar të malware pasiv të përgjimit për pajisjet e rrjetit të skajshëm, duke kombinuar aftësi të ndryshme si manipulimi i rrugës, rrëmbimi i lidhjeve dhe nuhatja pasive. Me materialin e keqpërdorur të vërtetimit, aktorët e kërcënimit jo vetëm që fitojnë akses në burimet e resë kompjuterike të lidhura me objektivin, por gjithashtu krijojnë një pikëmbështetje brenda atij ekosistemi cloud.