El malware sin clic ‘Sepia’ roba datos de la nube privada


Un malware nunca antes visto se dirige a enrutadores SOHO y de nivel empresarial, robando detalles de autenticación y otros datos detrás del borde de la red. También realiza ataques de secuestro de DNS y HTTP en conexiones a direcciones IP privadas.

El malware de rastreo de paquetes, llamado “Cuttlefish” por el equipo de Black Lotus Labs de Lumen Technologies, que lo descubrió, utiliza cero clics para capturar datos de usuarios y dispositivos, según una publicación de blog publicada el 1 de mayo.

Según Black Lotus Labs, “los datos enviados a través de equipos de red comprometidos por este malware podrían verse comprometidos”. Los investigadores dicen que los atacantes se dirigen específicamente a los servicios públicos basados ​​en la nube mediante el diseño de malware modular que se activa mediante un conjunto específico de reglas para obtener datos de autenticación.

“Para exfiltrar datos, los actores de amenazas primero crean un proxy o un túnel VPN a través de un enrutador comprometido y usan credenciales robadas para acceder a los recursos específicos”, decía la publicación. “Especulamos que al enviar solicitudes a través del enrutador, los actores pueden usar credenciales robadas para evadir análisis anómalos basados ​​en inicios de sesión”.

Cuttlefish también tiene la capacidad de secuestrar DNS y HTTP para conexiones a espacios IP privados asociados con comunicaciones en redes internas. También puede interactuar con otros dispositivos en la LAN para mover material o introducir nuevos agentes.

El comportamiento único del malware de Cuttlefish

Aunque la capacidad de Cuttlefish para espiar equipos de red perimetrales y realizar secuestros de DNS y HTTP “rara vez se observa”, se ha observado un comportamiento similar en campañas como ZuoRat, VPNFilter, Attor y Plead, según Black Lotus Labs. era

Sin embargo, lo que hace que Cuttlefish sea único es su capacidad para apuntar a conexiones de direcciones IP privadas que pueden ser secuestradas, y esta es la primera vez que los investigadores observan esta característica, lo que permite su uso con fines de persistencia y prevención de detección. una alta posibilidad de que

“Creemos que al apuntar a estos servicios en la nube, los atacantes pueden acceder a muchos de los mismos materiales alojados internamente sin tener que lidiar con controles de seguridad como EDR. [extended detection and response] Según la publicación del blog, se trata de “segmentación de red”.

Los investigadores creen que la combinación de este malware dirigido a equipos de red a menudo no monitoreados y accediendo a entornos de nube a menudo no registrados crea una persistencia a largo plazo en el ecosistema objetivo. Señaló que el propósito es permitir el acceso.

La sepia ha estado activa desde al menos julio del año pasado, y su campaña más reciente se desarrolló desde octubre hasta el mes pasado. La mayoría de las infecciones se produjeron a través de dos proveedores de telecomunicaciones dentro de Turquía (un área a menudo objetivo de malware de ciberespionaje), lo que representa aproximadamente el 93 % de las infecciones, con 600 direcciones IP únicas afectadas.

Black Lotus Labs dijo que también hubo un “pequeño número” de víctimas fuera de Turquía, incluidas direcciones IP de clientes asociadas con un proveedor global de telefonía satelital y posiblemente un centro de datos con sede en EE. UU.

Los investigadores creen que Cuttlefish también está alineado con los intereses de los actores de amenazas con sede en China, ya que descubrieron conexiones con HiatusRat, específicamente similitudes de código y rutas de construcción integradas. Sin embargo, hasta ahora Black Lotus Labs no ha encontrado una víctima común y especula que los dos grupos de malware están funcionando al mismo tiempo.

Proceso de infección y ejecución.

Los investigadores no han determinado el vector de infección inicial, pero dicen que rastrearon el camino de Cuttlefish después de que el dispositivo objetivo fuera explotado. El actor de amenazas primero implementa un script bash que recopila datos específicos basados ​​en el host y los envía a un servidor de comando y control (C2). También descarga y ejecuta Cuttlefish en forma de un binario malicioso compilado para todas las arquitecturas principales utilizadas en los sistemas operativos SOHO.

“Este agente implementa un proceso de varios pasos que comienza con la instalación de filtros de paquetes para inspeccionar todas las conexiones salientes y el uso de puertos, protocolos y direcciones IP de destino específicos”, afirma la publicación. “Cuttlefish monitorea constantemente todo el tráfico que pasa a través de un dispositivo y solo se activa cuando se detecta un conjunto específico de actividades”.

Después de recibir la enumeración basada en host de la entrada inicial, el C2 envía las reglas de participación actualizadas y especificadas a través del archivo de configuración. Este conjunto de reglas indica al malware que secuestra el tráfico destinado a direcciones IP privadas. Si se dirige a una IP pública, iniciará una función de rastreo para robar credenciales si se cumplen ciertos parámetros.

Defensa contra ataques de enrutadores

Los investigadores incluyeron una lista de indicadores de compromiso (IoC) en el artículo, así como también proporcionaron consejos personalizados tanto para los defensores de redes empresariales como para los propietarios de enrutadores SOHO para evitar y detectar compromisos por parte de Cuttlefish.

Las organizaciones deben tener cuidado con los ataques contra credenciales débiles e intentos de inicio de sesión sospechosos, incluso aquellos que se originan en direcciones IP residenciales que evaden la geocerca y el bloqueo basado en ASN. Además, el tráfico de la red debe cifrarse con TLS/SSL para evitar el rastreo al recuperar o transmitir datos de forma remota, como cuando se utilizan servicios basados ​​en la nube o se realiza cualquier tipo de autenticación.

Las organizaciones que administran este tipo de enrutadores deben asegurarse de que los dispositivos no dependan de contraseñas predeterminadas comunes y que las interfaces de administración estén adecuadamente protegidas y no sean accesibles a través de Internet. Inspeccione los dispositivos SOHO en busca de archivos anómalos, como binarios o entradas de iptables con formato incorrecto en el directorio /tmp, y también reinicie el dispositivo periódicamente para eliminar muestras de malware en la memoria, lo que ayuda a las organizaciones a evitar infracciones. Las empresas también deben implementar la fijación de certificados cuando se conectan de forma remota a activos de alto valor, como los activos en la nube, para evitar que los actores de amenazas se apropien de la conexión.

Los consumidores que utilizan enrutadores SOHO deben seguir las mejores prácticas para reiniciar periódicamente sus enrutadores e instalar actualizaciones y parches de seguridad. Además, los enrutadores que llegan al final de su vida útil y ya no cuentan con el soporte de sus respectivos proveedores deben retirarse y reemplazarse.



Fuente: https://www.darkreading.com/cloud-security/cuttlefish-zero-click-malware-steals-private-cloud-data