Noul malware Cuttlefish infecteaza routere pentru a monitoriza traficul in cautare de credentiale
Black Lotus Labs, divizia de cercetare a tehnologiilor Lumen, a examinat noul malware și raportează că Cuttlefish creează un proxy sau un tunel VPN pe routerul compromis pentru a exfiltra datele discret, evitând măsurile de securitate care detectează autentificări neobișnuite.
Malware-ul poate, de asemenea, să efectueze hijacking DNS și HTTP în spațiile IP private, interferând cu comunicațiile interne și posibil introducând mai multe încărcături.
Deși Cuttlefish are unele coduri care se suprapun cu HiatusRat, care a fost observat anterior în campanii aliniate cu interesele statului chinez, nu există legături concrete între cele două, iar atribuirea a fost imposibilă.
Black Lotus Labs afirmă că malware-ul este activ începând cu cel puțin iulie 2023. În prezent, rulează o campanie activă concentrată în Turcia, cu câteva infecții și în alte locuri care afectează serviciile de telefonie prin satelit și centre de date.
Metoda pentru infectarea inițială a routerelor nu a fost încă determinată, dar ar putea implica exploatarea vulnerabilităților cunoscute sau forțarea brută a credențialelor.
Odată ce accesul este obținut la un router, este implementat un script bash („s.sh”) care începe colectarea datelor bazate pe gazdă, inclusiv detalii despre listarea directoarelor, procesele în execuție și conexiunile active.
Scriptul descarcă și execută încărcătura primară a lui Cuttlefish („.timezone”), care este încărcată în memorie pentru a evita detectarea, în timp ce fișierul descărcat este șters din sistemul de fișiere.
Black Lotus Labs raportează că Cuttlefish este disponibil în diverse versiuni care susțin arhitecturile routerelor ARM, i386, i386_i686, i386_x64, mips32 și mips64, acoperind majoritatea arhitecturilor routerelor.
Odată ce este executat, Cuttlefish utilizează un filtru de pachete pentru a monitoriza toate conexiunile prin dispozitiv și, atunci când detectează date specifice, efectuează acțiuni specifice pe baza unor seturi de reguli actualizate regulat de serverul de comandă și control (C2) al atacatorului.
Malware-ul sniff-ere pasiv pachetele în căutarea „indicatorilor de credențiale” în trafic, cum ar fi numele de utilizator, parolele și tokenurile asociate în special cu serviciile bazate pe cloud public, cum ar fi Alicloud, AWS, Digital Ocean, CloudFlare și BitBucket.
„Aceasta ne-a atras atenția deoarece multe dintre aceste servicii ar fi folosite pentru a stoca date găsite altfel în rețea,” explică raportul Black Lotus Labs.
„Capturarea credențialelor în tranzit ar putea permite actorilor amenințării să copieze date din resursele cloud care nu au același tip de înregistrare sau controale în loc ca perimetrele de rețea tradiționale.”
Datele care corespund acestor parametri sunt înregistrate local și, odată ce atinge o anumită dimensiune (1048576 de octeți), sunt exfiltrate către C2 folosind un VPN peer-to-peer (n2n) sau un tunel proxy (socks_proxy) creat pe dispozitiv.
Pentru traficul destinat adreselor IP private, cererile DNS sunt redirecționate către un server DNS specificat, iar cererile HTTP sunt manipulate pentru a redirecționa traficul către infrastructura controlată de actori folosind coduri de eroare HTTP 302.
„Presupunem că această capacitate permite lui Cuttlefish să fure traficul intern (așa-numitul trafic „est-vest”) prin router, sau traficul de la site la site unde este stabilită o conexiune VPN între routere,” explică cercetătorii.
„Funcția suplimentară deschide ușa către resurse securizate care nu sunt accesibile prin internetul public.”
Cuttlefish reprezintă o amenințare serioasă pentru organizațiile din întreaga lume, deoarece permite atacatorilor să ocolească măsuri de securitate cum ar fi segmentarea rețelelor și monitorizarea endpoint-urilor și să stagneze nedetectați în medii cloud pe perioade prelungite.
Black Lotus Labs sugerează ca administratorii rețelelor corporative să elimine credențialele slabe, să monitorizeze pentru autentificări neobișnuite de la IP-uri rezidențiale, să securizeze traficul cu TLS/SSL, să inspecteze dispozitivele pentru iptables rogue sau alte fișiere anormale și să le repornească în mod regulat.
Când stabilesc conexiuni la distanță către active valoroase, este recomandabil să folosiți „certificate pinning” pentru a preveni interceptarea.
Pentru utilizatorii de routere SOHO, se recomandă repornirea dispozitivelor în mod regulat, aplicarea celor mai recente actualizări de firmware disponibile, schimbarea parolelor implicite, blocarea accesului la distanță la interfața de management și înlocuirea lor când ajung la sfârșitul vieții utile (EoL).
