Mątwy złośliwego oprogramowania nie są wcale urocze. To bardzo niebezpieczne zagrożenie komputerowe

Szkodnik Mątwy, pomimo pozornie nieszkodliwej nazwy, stanowi poważne zagrożenie dla routerów w małych biurach i biurach domowych (SOHO). Jego głównym celem jest potajemne monitorowanie ruchu sieciowego przechodzącego przez te urządzenia i zbieranie danych uwierzytelniających z żądań HTTP GET i POST. Według raportu zespołu Black Lotus Labs z Lumen Technologies, Cuttlefish działa jako modułowe złośliwe oprogramowanie, którego głównym celem jest kradzież informacji uwierzytelniających przesyłanych przez sieć lokalną (LAN) routera. Dodatkowo ma możliwość wykonywania przechwytywania DNS i HTTP dla połączeń z prywatnymi przestrzeniami IP w sieci wewnętrznej.

Istnieją przesłanki wskazujące, że mątwy są podobne do innego znanego szkodliwego oprogramowania o nazwie HiatusRAT, choć jak dotąd nie zaobserwowano przypadków wspólnej wiktymologii. Mątwa jest aktywna co najmniej od 27 lipca 2023 r., a jej ostatnia kampania trwa od października 2023 r. do kwietnia 2024 r. i dotyczy głównie 600 unikalnych adresów IP powiązanych z dwoma tureckimi dostawcami usług telekomunikacyjnych.

Początkowy wektor dostępu wykorzystywany przez mątwy do naruszania bezpieczeństwa sprzętu sieciowego pozostaje niejasny. Jednak gdy już zdobędzie przyczółek, wdraża skrypt bash w celu zebrania danych hosta i przeniesienia ich do domeny kontrolowanej przez aktora. Następnie pobiera i wykonuje ładunek mątwy dostosowany do architektury routera. Warto zauważyć, że Mątwa koncentruje się na pasywnym wąchaniu pakietów sieciowych w celu ukierunkowania danych uwierzytelniających powiązanych z usługami opartymi na chmurze publicznej, takimi jak Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare i BitBucket, wykorzystując rozszerzony filtr pakietów Berkeley (eBPF).

Funkcjonalność szkodliwego oprogramowania jest regulowana przez zestaw reguł pobranych z serwera dowodzenia i kontroli (C2), co pozwala mu przechwytywać ruch przeznaczony dla prywatnych adresów IP lub inicjować funkcję sniffera dla ruchu kierowanego do publicznych adresów IP w celu kradzieży danych uwierzytelniających. Co więcej, mątwy mogą działać jako serwer proxy i VPN do przesyłania przechwyconych danych przez zaatakowany router, umożliwiając podmiotom zagrażającym dostęp do docelowych zasobów przy użyciu skradzionych danych uwierzytelniających.

Podsumowując, Cuttlefish reprezentuje wyrafinowaną ewolucję w zakresie pasywnego podsłuchiwania szkodliwego oprogramowania dla urządzeń sieci brzegowej, łącząc w sobie manipulację trasami, przejmowanie połączeń i możliwości pasywnego wąchania. Jego zdolność do kradzieży danych uwierzytelniających nie tylko zapewnia dostęp do zasobów w chmurze, ale także ustanawia przyczółek w ekosystemie chmurowym docelowego podmiotu, stwarzając poważne zagrożenie dla cyberbezpieczeństwa.