Новая вредоносная программа под названием Cuttlefish нацелена на маршрутизаторы для небольших офисов и домашнего офиса (SOHO) с целью скрытого мониторинга всего трафика, проходящего через устройства, и сбора аутентификационных данных из HTTP-запросов GET и POST.
"Это вредоносное ПО модульного типа, разработанное в первую очередь для кражи аутентификационных материалов, обнаруженных в веб-запросах, которые проходят через маршрутизатор из соседней локальной сети (LAN)", - говорится в опубликованном сегодня отчете команды Black Lotus Labs в Lumen Technologies.
"Вторичная функция дает ей возможность выполнять как DNS, так и HTTP-перехват для подключений к частному IP-пространству, связанному с коммуникациями во внутренней сети".
Есть данные исходного кода, свидетельствующие о совпадении с другим ранее известным кластером активности под названием HiatusRAT, хотя общей виктимологии на сегодняшний день не наблюдалось. Говорят, что эти две операции выполняются одновременно.
Cuttlefish активна как минимум с 27 июля 2023 года, а последняя кампания проводится с октября 2023 по апрель 2024 года и преимущественно заражает 600 уникальных IP-адресов, связанных с двумя турецкими операторами связи.
Точный начальный вектор доступа, используемый для компрометации сетевого оборудования, неясен. Однако за успешным закреплением следует развертывание bash-скрипта, который собирает данные хоста, такие как содержимое файла /etc, запущенные процессы, активные подключения и монтирование, и отправляет детали в домен, контролируемый участником ("kkthreas[.]com/upload").
Впоследствии она загружает и выполняет полезную нагрузку Cuttlefish с выделенного сервера в зависимости от архитектуры маршрутизатора (например, Arm, i386, i386_i686, i386_x64, mips32 и mips64).
Примечательным аспектом является то, что пассивный перехват сетевых пакетов в первую очередь предназначен для выделения данных аутентификации, связанных с общедоступными облачными сервисами, такими как Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare и BitBucket, путем создания расширенного фильтра пакетов Berkeley (eBPF).
Эта функциональность регулируется на основе набора правил, который предписывает вредоносной программе либо перехватывать трафик, направленный на частный IP-адрес, либо запускать функцию поиска трафика, направляемого на общедоступный IP-адрес, чтобы украсть учетные данные при соблюдении определенных параметров.
Правила взлома, со своей стороны, извлекаются и обновляются с сервера командования и управления (C2), настроенного для этой цели, после установления к нему безопасного подключения с использованием встроенного сертификата RSA.
Вредоносная программа также способна выполнять функции прокси-сервера и VPN для передачи захваченных данных через внедренный маршрутизатор, тем самым позволяя субъектам угрозы использовать украденные учетные данные для доступа к целевым ресурсам.
"Cuttlefish представляет собой новейшую эволюцию вредоносного ПО для пассивного подслушивания для периферийного сетевого оборудования [...], поскольку оно сочетает в себе множество атрибутов", - заявили в фирме по кибербезопасности.
"Она способна выполнять манипуляции с маршрутами, перехватывать соединения и использует возможность пассивного прослушивания. С помощью украденного ключевого материала злоумышленник не только извлекает облачные ресурсы, связанные с целевой организацией, но и закрепляется в этой облачной экосистеме."
