Malware de sepia

Un nuevo malware conocido como Cuttlefish se centra en enrutadores de pequeñas oficinas y oficinas domésticas (SOHO), con el objetivo de monitorear discretamente todo el tráfico que pasa a través de estos dispositivos y recopilar datos de autenticación de solicitudes HTTP GET y POST.

Este malware en particular está construido de forma modular y apunta principalmente al robo de información de autenticación de solicitudes web que pasan a través del enrutador en la red de área local (LAN). Además, posee la capacidad de realizar secuestro de DNS y HTTP para conexiones dentro del espacio IP privado, generalmente asociado con comunicaciones de red interna.

Hay indicios en el código fuente que sugieren similitudes con un grupo de actividad previamente identificado conocido como HiatusRAT , aunque hasta el momento no se han observado casos de victimología compartida. Parece que estas dos operaciones están activas simultáneamente.

Vector de infección para dispositivos comprometidos con el malware Cuttlefish

Cuttlefish ha estado activo desde al menos el 27 de julio de 2023, y su última campaña se extendió desde octubre de 2023 hasta abril de 2024. Durante este período, se dirigió principalmente a 600 direcciones IP únicas vinculadas a dos proveedores de telecomunicaciones turcos.

El método específico utilizado para el acceso inicial a los equipos de red comprometidos aún no está claro. Sin embargo, una vez que se establece un punto de apoyo, se implementa un script bash para recopilar datos del host, incluidos, etc., contenidos, procesos en ejecución, conexiones activas y montajes. Luego, esta información se envía a un dominio controlado por el actor de la amenaza ('kkthreas.com/upload'). Posteriormente descarga y ejecuta la carga útil de Cuttlefish desde un servidor dedicado basado en la arquitectura del enrutador específica (por ejemplo, Arm, mips32 y mips64, i386, i386_i686, i386_x64, etc.).

El malware Cuttlefish puede comprometer las credenciales de víctimas cruciales

Una característica destacada de este malware es su capacidad de rastreo pasivo diseñada específicamente para apuntar a datos de autenticación de servicios de nube pública como Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare y BitBucket, lograda a través de un filtro de paquetes Berkeley extendido (eBPF). ).

El malware opera según un conjunto de reglas que le dirigen a secuestrar el tráfico destinado a una dirección IP privada o activar una función de rastreo para el tráfico que se dirige a una IP pública, lo que permite el robo de credenciales en condiciones específicas. Las reglas de secuestro se recuperan y actualizan desde un servidor de comando y control (C2) establecido para este propósito, con una conexión segura mediante un certificado RSA integrado.

Además, el malware puede actuar como un proxy o VPN, lo que permite que los datos capturados se transmitan a través del enrutador comprometido y facilita que los actores de amenazas utilicen las credenciales recopiladas para acceder a los recursos específicos.

Los investigadores describen a Cuttlefish como una forma avanzada de malware de escucha pasiva para equipos de red de borde, que combina varias capacidades como manipulación de rutas, secuestro de conexiones y rastreo pasivo. Con el material de autenticación malversado, los actores de amenazas no solo obtienen acceso a los recursos de la nube asociados con el objetivo, sino que también establecen un punto de apoyo dentro de ese ecosistema de la nube.