2 de mayo de 2024Sala de redacción Ciberespionaje/Seguridad de redes
Un nuevo malware llamado Cuttlefish se dirige a enrutadores de pequeñas oficinas y oficinas domésticas (SOHO), monitorea en secreto todo el tráfico que pasa a través del dispositivo y recopila datos de autenticación de solicitudes HTTP GET y POST.
“El malware es modular y está diseñado principalmente para robar credenciales contenidas en solicitudes web que pasan a través de un enrutador desde una red de área local (LAN) adyacente”, dijo Black Lotus de Lumen Technologies.・Declaró el equipo del laboratorio en un informe publicado hoy.
“La funcionalidad secundaria brinda la capacidad de realizar secuestro DNS y HTTP de conexiones al espacio IP privado asociado con las comunicaciones en redes internas”.
Hay evidencia del código fuente que sugiere una superposición con otro grupo de actividades previamente conocido llamado HiatusRAT, pero hasta ahora no se ha identificado ninguna víctima común. Se dice que estas dos operaciones se ejecutan simultáneamente.
Cuttlefish ha estado activo desde al menos el 27 de julio de 2023, y la última campaña se desarrolló desde octubre de 2023 hasta abril de 2024, dirigida a 600 direcciones IP únicas asociadas principalmente con dos proveedores de telecomunicaciones turcos.
Se desconoce el vector de acceso inicial exacto utilizado para comprometer el equipo de red. Sin embargo, un punto de apoyo exitoso implementa un script bash que recopila datos del host como contenidos /etc, procesos en ejecución, conexiones activas, montajes y filtra los detalles a un dominio controlado por el atacante (‘kkthreas’).[.]es/subir”.
Luego descarga y ejecuta la carga útil de Cuttlefish desde un servidor dedicado según la arquitectura del enrutador (Arm, i386, i386_i686, i386_x64, mips32, mips64, etc.).
En particular, el rastreo pasivo de paquetes de red se realiza principalmente mediante la creación de un filtro de paquetes Berkeley (eBPF) mejorado que se puede utilizar para detectar servicios públicos basados en la nube como Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare y BitBucket. está diseñado para identificar los datos de autenticación asociados con.
Esta característica permite al malware secuestrar el tráfico destinado a una dirección IP privada o establecer reglas que le indiquen que inicie una función de rastreo para el tráfico destinado a una IP pública con el fin de robar credenciales si se cumplen ciertos parámetros administrados en función de.
Las reglas de secuestro, por otro lado, se recuperan y actualizan desde un servidor de comando y control (C2) configurado para este propósito después de establecer una conexión segura mediante un certificado RSA integrado.
El malware también está equipado para actuar como proxy y VPN para enviar datos capturados a través de enrutadores comprometidos, lo que permite a los actores de amenazas acceder a recursos específicos utilizando credenciales robadas.
“Cuttlefish es la última evolución de malware que espía los equipos de red perimetrales. […] “Esto se debe a que combina múltiples atributos”, afirmó la firma de ciberseguridad.
“Tienen la capacidad de realizar funciones de manipulación de raíz, secuestro de conexiones y rastreo pasivo. Utilizando material de claves robadas, los atacantes no sólo pueden obtener recursos de la nube asociados con una entidad objetivo, sino también ganar un punto de apoyo en el sistema”.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/05/new-cuttlefish-malware-hijacks-router.html