Вредоносное ПО «Каракатица» далеко не милое, это очень опасная компьютерная угроза

Вредоносная программа Cuttlefish, несмотря на свое, казалось бы, безобидное название, представляет значительную угрозу для маршрутизаторов малых и домашних офисов (SOHO). Его основная цель — тайно отслеживать сетевой трафик, проходящий через эти устройства, и собирать данные аутентификации из запросов HTTP GET и POST. Согласно отчету команды Black Lotus Labs компании Lumen Technologies, Cuttlefish действует как модульное вредоносное ПО, основное внимание которого уделяется краже аутентификационной информации, передаваемой через локальную сеть (LAN) маршрутизатора. Кроме того, он имеет возможность перехвата DNS и HTTP для подключений к частным IP-пространствам во внутренней сети.

Есть признаки того, что Cuttlefish имеет сходство с другим известным вредоносным ПО под названием HiatusRAT, хотя случаев общей виктимологии пока не наблюдалось. Cuttlefish активна как минимум с 27 июля 2023 года, а ее последняя кампания длилась с октября 2023 года по апрель 2024 года и преимущественно затронула 600 уникальных IP-адресов, связанных с двумя турецкими операторами связи.

Первоначальный вектор доступа, используемый Cuttlefish для компрометации сетевого оборудования, остается неясным. Однако, как только он закрепится, он развертывает bash-скрипт для сбора данных хоста и их фильтрации в домене, контролируемом субъектом. Впоследствии он загружает и выполняет полезную нагрузку Cuttlefish, адаптированную к архитектуре маршрутизатора. Примечательно, что Cuttlefish фокусируется на пассивном перехвате сетевых пакетов для целевых данных аутентификации, связанных с общедоступными облачными сервисами, такими как Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare и BitBucket, используя расширенный фильтр пакетов Berkeley (eBPF).

Функциональность вредоносного ПО регулируется набором правил, полученным с сервера управления и контроля (C2), что позволяет ему перехватывать трафик, предназначенный для частных IP-адресов, или инициировать функцию перехвата трафика, направляемого на общедоступные IP-адреса, для кражи учетных данных. Кроме того, Cuttlefish может выступать в качестве прокси-сервера и VPN для передачи захваченных данных через скомпрометированный маршрутизатор, позволяя злоумышленникам получать доступ к целевым ресурсам, используя украденные учетные данные.

Подводя итог, Cuttlefish представляет собой сложную эволюцию вредоносного ПО для пассивного подслушивания периферийного сетевого оборудования, сочетающего в себе манипулирование маршрутами, перехват соединения и возможности пассивного перехвата. Его способность красть данные аутентификации не только предоставляет доступ к облачным ресурсам, но и создает точку опоры в облачной экосистеме целевой организации, что представляет собой серьезную угрозу кибербезопасности.