Skadlig programvara för bläckfisk

En ny skadlig programvara känd som Cuttlefish fokuserar på routrar för små kontor och hemmakontor (SOHO), som syftar till att diskret övervaka all trafik som passerar genom dessa enheter och samla in autentiseringsdata från HTTP GET- och POST-förfrågningar.

Denna speciella skadliga programvara är byggd på ett modulärt sätt, främst inriktat på stöld av autentiseringsinformation från webbförfrågningar som passerar via routern på det lokala nätverket (LAN). Dessutom har den förmågan att utföra DNS- och HTTP-kapning för anslutningar inom privat IP-utrymme, vanligtvis förknippat med intern nätverkskommunikation.

Det finns indikationer från källkoden som tyder på likheter med ett tidigare identifierat aktivitetskluster känt som HiatusRAT , även om inga fall av delad viktimologi har observerats hittills. Det verkar som om dessa två operationer är aktiva samtidigt.

Infektionsvektor för att kompromissa med enheter med skadlig programvara för bläckfisk

Cuttlefish har varit aktiv sedan åtminstone 27 juli 2023, med sin senaste kampanj som sträcker sig från oktober 2023 till april 2024. Under denna period riktade den sig främst mot 600 unika IP-adresser kopplade till två turkiska telekomleverantörer.

Den specifika metod som används för initial åtkomst till komprometterad nätverksutrustning är fortfarande oklart. Men när ett fotfäste har etablerats, distribueras ett bash-skript för att samla in värddata, inklusive/etc., innehåll, pågående processer, aktiva anslutningar och monteringar. Denna information skickas sedan till en domän som kontrolleras av hotaktören ('kkthreas.com/upload'). Den laddar sedan ner och kör Cuttlefish-nyttolasten från en dedikerad server baserad på den specifika routerarkitekturen (t.ex. Arm, mips32 och mips64, i386, i386_i686, i386_x64, etc).

Skadlig programvara för bläckfisk kan äventyra viktiga offers referenser

En utmärkande egenskap hos den här skadliga programvaran är dess passiva sniffningsförmåga utformad specifikt för att rikta in sig på autentiseringsdata från offentliga molntjänster som Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare och BitBucket, som uppnås genom ett utökat Berkeley Packet Filter (eBPF) ).

Skadlig programvara fungerar baserat på en regeluppsättning som styr den att antingen kapa trafik som är bunden till en privat IP-adress eller aktivera en snifferfunktion för trafik på väg till en offentlig IP, vilket möjliggör stöld av referenser under specifika förhållanden. Kapningsreglerna hämtas och uppdateras från en Command-and-Control-server (C2) som upprättats för detta ändamål, med en säker anslutning med ett inbäddat RSA-certifikat.

Dessutom kan skadlig programvara fungera som en proxy eller VPN, vilket gör att infångad data kan överföras genom den komprometterade routern och underlättar hotaktörer att använda insamlade referenser för att komma åt riktade resurser.

Forskare beskriver bläckfisk som en avancerad form av skadlig programvara för passiv avlyssning för edge-nätverksutrustning, som kombinerar olika funktioner som ruttmanipulation, anslutningskapning och passiv sniffning. Med det förskingrade autentiseringsmaterialet får hotaktörer inte bara tillgång till molnresurser som är associerade med målet, utan etablerar sig också inom molnets ekosystem.