תוכנה זדונית של דיונון
תוכנה זדונית חדשה המכונה Cuttlefish מתמקדת בנתבים למשרדים קטנים ולמשרדים ביתיים (SOHO), במטרה לנטר באופן דיסקרטי את כל התעבורה העוברת דרך המכשירים הללו ולאסוף נתוני אימות מבקשות HTTP GET ו-POST.
תוכנה זדונית ספציפית זו בנויה בצורה מודולרית, בעיקר מכוונת לגניבה של מידע אימות מבקשות אינטרנט העוברות דרך הנתב ברשת המקומית (LAN). בנוסף, יש לו את היכולת לבצע חטיפת DNS ו-HTTP עבור חיבורים בתוך שטח IP פרטי, הקשור בדרך כלל לתקשורת פנימית ברשת.
ישנן אינדיקציות מקוד המקור המצביעות על קווי דמיון עם אשכול פעילות שזוהה בעבר הידוע בשם HiatusRAT , אם כי עד כה לא נצפו מקרים של ויקטימולוגיה משותפת. נראה ששתי הפעולות הללו פעילות במקביל.
וקטור זיהום לפגיעה במכשירים עם תוכנת הדיונון הזדונית
Cuttlefish פעילה לפחות מאז ה-27 ביולי 2023, כאשר הקמפיין האחרון שלה נמשך מאוקטובר 2023 עד אפריל 2024. במהלך תקופה זו, הוא מכוון בעיקר ל-600 כתובות IP ייחודיות המקושרות לשני ספקי טלקום טורקיים.
השיטה הספציפית המשמשת לגישה ראשונית לפגיעה בציוד הרשת נותרה לא ברורה. עם זאת, ברגע שמתבססת דריסת רגל, נפרס סקריפט bash לאיסוף נתוני מארח, כולל/וכו', תוכן, תהליכים רצים, חיבורים פעילים וטעינות. מידע זה נשלח לאחר מכן לתחום הנשלט על ידי שחקן האיום ('kkthreas.com/upload'). לאחר מכן, הוא מוריד ומבצע את עומס ה-Cuttlefish משרת ייעודי המבוסס על ארכיטקטורת הנתב הספציפית (למשל, Arm, mips32, ו-mips64, i386, i386_i686, i386_x64 וכו').
התוכנה הזדונית של דיונון עלולה לפגוע באישורים של קורבנות מכריעים
תכונה בולטת של תוכנה זדונית זו היא יכולת ההרחה הפסיבית שלה שתוכננה במיוחד למקד נתוני אימות משירותי ענן ציבוריים כמו Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare ו-BitBucket, המושגת באמצעות מסנן מנות מורחב של ברקלי (eBPF) ).
התוכנה הזדונית פועלת בהתבסס על ערכת כללים שמכוונת אותה לחטוף תעבורה המיועדת לכתובת IP פרטית או להפעיל פונקציית sniffer לתנועה לכיוון IP ציבורי, מה שמאפשר גניבת אישורים בתנאים ספציפיים. כללי החטיפה מאוחזרים ומתעדכנים משרת Command-and-Control (C2) שהוקם למטרה זו, עם חיבור מאובטח באמצעות אישור RSA מוטבע.
יתרה מכך, התוכנה הזדונית יכולה לשמש כ-proxy או כ-VPN, ומאפשרת להעביר נתונים שנלכדו דרך הנתב שנפרץ ולהקל על גורמי איומים בשימוש באישורים שנאספו כדי לגשת למשאבים ממוקדים.
חוקרים מתארים את Cuttlefish כצורה מתקדמת של תוכנות זדוניות האזנה פסיביות עבור ציוד רשת קצה, המשלבת יכולות שונות כגון מניפולציה של מסלול, חטיפת חיבורים והרחה פסיבית. עם חומרי האימות שגוזלים, שחקני איומים לא רק מקבלים גישה למשאבי ענן הקשורים למטרה, אלא גם מבססים דריסת רגל בתוך אותה מערכת אקולוגית בענן.
