কাটলফিশ ম্যালওয়্যার

Cuttlefish নামে পরিচিত একটি নতুন ম্যালওয়্যার ছোট অফিস এবং হোম অফিস (SOHO) রাউটারগুলিতে ফোকাস করে, যার লক্ষ্য এই ডিভাইসগুলির মধ্য দিয়ে যাওয়া সমস্ত ট্র্যাফিককে সতর্কতার সাথে পর্যবেক্ষণ করা এবং HTTP GET এবং POST অনুরোধগুলি থেকে প্রমাণীকরণ ডেটা সংগ্রহ করা।

এই বিশেষ ম্যালওয়্যারটি একটি মডুলার ফ্যাশনে তৈরি করা হয়েছে, প্রাথমিকভাবে লোকাল এরিয়া নেটওয়ার্ক (LAN)-এর রাউটারের মধ্য দিয়ে যাওয়া ওয়েব অনুরোধ থেকে প্রমাণীকরণের তথ্য চুরিকে লক্ষ্য করে। উপরন্তু, এটি ব্যক্তিগত IP স্থানের মধ্যে সংযোগের জন্য DNS এবং HTTP হাইজ্যাকিং করার ক্ষমতা রাখে, সাধারণত অভ্যন্তরীণ নেটওয়ার্ক যোগাযোগের সাথে যুক্ত।

সোর্স কোড থেকে এমন ইঙ্গিত রয়েছে যা পূর্বে চিহ্নিত কার্যকলাপ ক্লাস্টারের সাথে মিলের পরামর্শ দেয় যা HiatusRAT নামে পরিচিত, যদিও ভাগাভাগি শিকারের কোনো দৃষ্টান্ত এখনও পর্যন্ত পরিলক্ষিত হয়নি। দেখা যাচ্ছে যে এই দুটি অপারেশন একই সাথে সক্রিয়।

কাটলফিশ ম্যালওয়্যারের সাথে আপসকারী ডিভাইসগুলির জন্য সংক্রমণ ভেক্টর

কাটলফিশ কমপক্ষে 27 জুলাই, 2023 সাল থেকে সক্রিয় রয়েছে, এর সর্বশেষ প্রচারাভিযান অক্টোবর 2023 থেকে এপ্রিল 2024 পর্যন্ত বিস্তৃত। এই সময়ের মধ্যে, এটি প্রাথমিকভাবে দুটি তুর্কি টেলিকম প্রদানকারীর সাথে সংযুক্ত 600টি অনন্য আইপি ঠিকানাকে লক্ষ্য করে।

আপস নেটওয়ার্কিং সরঞ্জাম প্রাথমিক অ্যাক্সেস জন্য ব্যবহৃত নির্দিষ্ট পদ্ধতি অস্পষ্ট রয়ে গেছে. যাইহোক, একবার পা রাখা হলে, হোস্ট ডেটা সংগ্রহ করতে একটি ব্যাশ স্ক্রিপ্ট স্থাপন করা হয়, যার মধ্যে/ইত্যাদি, বিষয়বস্তু, চলমান প্রক্রিয়া, সক্রিয় সংযোগ এবং মাউন্ট। এই তথ্য তারপর হুমকি অভিনেতা ('kkthreas.com/upload') দ্বারা নিয়ন্ত্রিত একটি ডোমেনে পাঠানো হয়। এটি পরবর্তীতে নির্দিষ্ট রাউটার আর্কিটেকচারের উপর ভিত্তি করে একটি ডেডিকেটেড সার্ভার থেকে Cuttlefish পেলোড ডাউনলোড করে এবং এক্সিকিউট করে (যেমন, Arm, mips32, এবং mips64, i386, i386_i686, i386_x64, ইত্যাদি)।

কাটলফিশ ম্যালওয়্যার গুরুত্বপূর্ণ ভিকটিমদের শংসাপত্রের সাথে আপস করতে পারে

এই ম্যালওয়্যারের একটি স্ট্যান্ড-আউট বৈশিষ্ট্য হল এর প্যাসিভ স্নিফিং ক্ষমতা যা বিশেষভাবে অ্যালিক্লাউড, অ্যামাজন ওয়েব সার্ভিসেস (AWS), ডিজিটাল ওশান, ক্লাউডফ্লেয়ার এবং বিটবাকেটের মতো পাবলিক ক্লাউড পরিষেবা থেকে প্রমাণীকরণ ডেটা লক্ষ্য করার জন্য ডিজাইন করা হয়েছে, যা একটি বর্ধিত বার্কলে প্যাকেট ফিল্টার (eBPF) এর মাধ্যমে অর্জন করা হয়েছে। )

ম্যালওয়্যারটি একটি নিয়ম সেটের উপর ভিত্তি করে কাজ করে যা এটিকে একটি ব্যক্তিগত আইপি ঠিকানার জন্য আবদ্ধ ট্রাফিক হাইজ্যাক করতে বা একটি পাবলিক আইপিতে যাওয়ার জন্য একটি স্নিফার ফাংশন সক্রিয় করার নির্দেশ দেয়, নির্দিষ্ট শর্তে শংসাপত্র চুরি করতে সক্ষম করে৷ হাইজ্যাক নিয়মগুলি একটি এমবেডেড RSA শংসাপত্র ব্যবহার করে একটি সুরক্ষিত সংযোগ সহ এই উদ্দেশ্যে প্রতিষ্ঠিত একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে পুনরুদ্ধার এবং আপডেট করা হয়৷

অধিকন্তু, ম্যালওয়্যারটি একটি প্রক্সি বা ভিপিএন হিসাবে কাজ করতে পারে, ক্যাপচার করা ডেটা আপোসকৃত রাউটারের মাধ্যমে প্রেরণ করার অনুমতি দেয় এবং সংগৃহীত শংসাপত্রগুলিকে লক্ষ্যযুক্ত সংস্থানগুলি অ্যাক্সেস করার জন্য হুমকি অভিনেতাদের সহায়তা করে।

গবেষকরা কাটলফিশকে প্রান্ত নেটওয়ার্কিং সরঞ্জামগুলির জন্য প্যাসিভ ইভড্রপিং ম্যালওয়্যারের একটি উন্নত রূপ হিসাবে বর্ণনা করেছেন, যা রুট ম্যানিপুলেশন, সংযোগ হাইজ্যাকিং এবং প্যাসিভ স্নিফিংয়ের মতো বিভিন্ন ক্ষমতার সমন্বয় করে। অপপ্রয়োগকৃত প্রমাণীকরণ সামগ্রীর সাহায্যে, হুমকি অভিনেতারা শুধুমাত্র লক্ষ্যের সাথে যুক্ত ক্লাউড সংস্থানগুলিতেই অ্যাক্সেস লাভ করে না, সেই সাথে সেই ক্লাউড ইকোসিস্টেমের মধ্যে একটি পা স্থাপন করে।