Logiciel malveillant de seiche

Un nouveau malware connu sous le nom de Cuttlefish se concentre sur les routeurs des petites entreprises et des bureaux à domicile (SOHO), dans le but de surveiller discrètement tout le trafic transitant par ces appareils et de collecter des données d'authentification à partir des requêtes HTTP GET et POST.

Ce malware particulier est construit de manière modulaire, ciblant principalement le vol d'informations d'authentification provenant des requêtes Web transitant par le routeur du réseau local (LAN). De plus, il possède la capacité d'effectuer un piratage DNS et HTTP pour les connexions au sein d'un espace IP privé, généralement associé aux communications réseau internes.

Certaines indications du code source suggèrent des similitudes avec un groupe d'activités précédemment identifié connu sous le nom de HiatusRAT , bien qu'aucun cas de victimologie partagée n'ait été observé jusqu'à présent. Il semble que ces deux opérations soient actives simultanément.

Vecteur d'infection pour les appareils compromettants avec le logiciel malveillant Cuttlefish

Cuttlefish est actif depuis au moins le 27 juillet 2023, sa dernière campagne s'étalant d'octobre 2023 à avril 2024. Au cours de cette période, elle a principalement ciblé 600 adresses IP uniques liées à deux fournisseurs de télécommunications turcs.

La méthode spécifique utilisée pour l’accès initial aux équipements réseau compromis reste floue. Cependant, une fois le point d'ancrage établi, un script bash est déployé pour collecter les données de l'hôte, notamment/etc., le contenu, les processus en cours d'exécution, les connexions actives et les montages. Ces informations sont ensuite envoyées à un domaine contrôlé par l'acteur menaçant (« kkthreas.com/upload »). Il télécharge et exécute ensuite la charge utile Cuttlefish à partir d'un serveur dédié basé sur l'architecture spécifique du routeur (par exemple, Arm, mips32 et mips64, i386, i386_i686, i386_x64, etc.).

Le logiciel malveillant Cuttlefish peut compromettre les informations d'identification de victimes cruciales

Une caractéristique remarquable de ce malware est sa capacité de détection passive conçue spécifiquement pour cibler les données d'authentification des services de cloud public tels qu'Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare et BitBucket, obtenue grâce à un filtre de paquets Berkeley étendu (eBPF). ).

Le logiciel malveillant fonctionne sur la base d'un ensemble de règles qui lui ordonnent soit de détourner le trafic destiné à une adresse IP privée, soit d'activer une fonction de renifleur pour le trafic se dirigeant vers une adresse IP publique, permettant ainsi le vol d'informations d'identification dans des conditions spécifiques. Les règles de piratage sont récupérées et mises à jour à partir d'un serveur de commande et de contrôle (C2) établi à cet effet, avec une connexion sécurisée utilisant un certificat RSA intégré.

De plus, le logiciel malveillant peut agir comme un proxy ou un VPN, permettant aux données capturées d'être transmises via le routeur compromis et permettant aux acteurs malveillants d'utiliser les informations d'identification collectées pour accéder aux ressources ciblées.

Les chercheurs décrivent Cuttlefish comme une forme avancée de malware d'écoute passive pour les équipements de réseau de périphérie, combinant diverses fonctionnalités telles que la manipulation d'itinéraire, le détournement de connexion et le reniflage passif. Grâce au matériel d’authentification détourné, les acteurs malveillants ont non seulement accès aux ressources cloud associées à la cible, mais prennent également pied au sein de cet écosystème cloud.