Вредоносное ПО для каракатиц

Новое вредоносное ПО, известное как Cuttlefish, ориентировано на маршрутизаторы малых и домашних офисов (SOHO) с целью незаметно отслеживать весь трафик, проходящий через эти устройства, и собирать данные аутентификации из запросов HTTP GET и POST.

Эта конкретная вредоносная программа построена по модульному принципу и в первую очередь нацелена на кражу аутентификационной информации из веб-запросов, проходящих через маршрутизатор в локальной сети (LAN). Кроме того, он обладает возможностью перехвата DNS и HTTP для соединений внутри частного IP-пространства, обычно связанного с внутренними сетевыми коммуникациями.

В исходном коде есть указания на сходство с ранее выявленным кластером активности, известным как HiatusRAT , хотя до сих пор не наблюдалось никаких случаев общей виктимологии. Похоже, что эти две операции активны одновременно.

Вектор заражения устройств вредоносным ПО Cuttlefish

Cuttlefish активна как минимум с 27 июля 2023 года, а ее последняя кампания длилась с октября 2023 года по апрель 2024 года. За этот период она в основном была нацелена на 600 уникальных IP-адресов, связанных с двумя турецкими операторами связи.

Конкретный метод, используемый для первоначального доступа к скомпрометированному сетевому оборудованию, остается неясным. Однако как только точка опоры установлена, сценарий bash развертывается для сбора данных хоста, включая и т. д., содержимое, запущенные процессы, активные соединения и монтирования. Затем эта информация отправляется в домен, контролируемый злоумышленником (kkthreas.com/upload). Впоследствии он загружает и выполняет полезную нагрузку Cuttlefish с выделенного сервера на основе конкретной архитектуры маршрутизатора (например, Arm, mips32 и mips64, i386, i386_i686, i386_x64 и т. д.).

Вредоносная программа Cuttlefish может поставить под угрозу учетные данные важных жертв

Отличительной особенностью этого вредоносного ПО является его способность пассивного перехвата, разработанная специально для сбора данных аутентификации из общедоступных облачных сервисов, таких как Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare и BitBucket, что достигается с помощью расширенного фильтра пакетов Berkeley (eBPF). ).

Вредоносное ПО действует на основе набора правил, который предписывает ему либо перехватывать трафик, направляемый на частный IP-адрес, либо активировать функцию перехвата трафика, направляющегося на общедоступный IP-адрес, что позволяет похитить учетные данные при определенных условиях. Правила перехвата извлекаются и обновляются с сервера управления и контроля (C2), созданного для этой цели, с помощью безопасного соединения с использованием встроенного сертификата RSA.

Более того, вредоносное ПО может действовать как прокси-сервер или VPN, позволяя передавать захваченные данные через скомпрометированный маршрутизатор и помогая злоумышленникам использовать собранные учетные данные для доступа к целевым ресурсам.

Исследователи описывают Cuttlefish как продвинутую форму вредоносного ПО для пассивного подслушивания периферийного сетевого оборудования, сочетающего в себе различные возможности, такие как манипулирование маршрутами, перехват соединения и пассивный перехват. С помощью незаконно присвоенного аутентификационного материала злоумышленники не только получают доступ к облачным ресурсам, связанным с целью, но и закрепляются в этой облачной экосистеме.