Malware til blæksprutte

En ny malware kendt som Cuttlefish fokuserer på små kontor- og hjemmekontorroutere (SOHO) med det formål diskret at overvåge al trafik, der passerer gennem disse enheder, og indsamle godkendelsesdata fra HTTP GET- og POST-anmodninger.

Denne særlige malware er bygget på en modulær måde, primært rettet mod tyveri af godkendelsesoplysninger fra webanmodninger, der passerer gennem routeren på det lokale netværk (LAN). Derudover besidder den evnen til at udføre DNS- og HTTP-kapring for forbindelser inden for privat IP-rum, typisk forbundet med intern netværkskommunikation.

Der er indikationer fra kildekoden, der tyder på ligheder med en tidligere identificeret aktivitetsklynge kendt som HiatusRAT , selvom der hidtil ikke er observeret nogen tilfælde af delt viktimologi. Det ser ud til, at disse to operationer er aktive samtidigt.

Infektionsvektor til at kompromittere enheder med cuttlefish-malware

Cuttlefish har været aktiv siden mindst den 27. juli 2023, med sin seneste kampagne, der strækker sig fra oktober 2023 til april 2024. I denne periode var den primært målrettet mod 600 unikke IP-adresser knyttet til to tyrkiske teleudbydere.

Den specifikke metode, der anvendes til indledende adgang til kompromitterende netværksudstyr, er stadig uklar. Men når først et fodfæste er etableret, implementeres et bash-script til at indsamle værtsdata, inklusive/osv., indhold, kørende processer, aktive forbindelser og mounts. Disse oplysninger sendes derefter til et domæne, der kontrolleres af trusselsaktøren ('kkthreas.com/upload'). Det downloader og udfører efterfølgende Cuttlefish-nyttelasten fra en dedikeret server baseret på den specifikke routerarkitektur (f.eks. Arm, mips32 og mips64, i386, i386_i686, i386_x64 osv.).

Blækspruttemalwaren kan kompromittere vigtige ofres legitimationsoplysninger

Et iøjnefaldende træk ved denne malware er dens passive sniffing-evne designet specifikt til at målrette godkendelsesdata fra offentlige cloud-tjenester som Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare og BitBucket, opnået gennem et udvidet Berkeley Packet Filter (eBPF) ).

Malwaren fungerer baseret på et regelsæt, der dirigerer den til enten at kapre trafik på vej til en privat IP-adresse eller aktivere en sniffer-funktion for trafik på vej til en offentlig IP, hvilket muliggør tyveri af legitimationsoplysninger under specifikke forhold. Kapringsreglerne hentes og opdateres fra en Command-and-Control-server (C2) etableret til dette formål med en sikker forbindelse ved hjælp af et indlejret RSA-certifikat.

Desuden kan malwaren fungere som en proxy eller VPN, hvilket gør det muligt at overføre opsamlede data gennem den kompromitterede router og letter trusselsaktører i at bruge indsamlede legitimationsoplysninger til at få adgang til målrettede ressourcer.

Forskere beskriver Cuttlefish som en avanceret form for passiv aflytning af malware til kantnetværksudstyr, der kombinerer forskellige muligheder såsom rutemanipulation, forbindelseskapring og passiv sniffing. Med det uretmæssige godkendelsesmateriale får trusselsaktører ikke kun adgang til skyressourcer forbundet med målet, men etablerer også fodfæste i det skyøkosystem.