Команда Black Lotus Labs из Lumen Technologies отслеживает вредоносную платформу, названную Cuttlefish, которая предназначена для атаки на маршрутизаторы корпоративного класса для малых и домашних офисов (SOHO). Cuttlefish является модульным вредоносным ПО, которое основным образом предназначено для кражи аутентификационных данных из веб-запросов, проходящих через маршрутизатор из соседней локальной сети (LAN). Кроме того, оно также способно перехватывать DNS и HTTP соединения с частным IP-пространством, связанным с внутренней сетью. Cuttlefish может взаимодействовать с другими устройствами в локальной сети и перемещать материал или внедрять новых агентов.
Команда обнаружила сходство кода и встроенных путей сборки Cuttlefish с ранее зарегистрированным кластером активности под названием HiatusRat, целью которого, по нашим оценкам, является проникновение в системы в интересах Китайской Народной Республики. Cuttlefish активно действует с июля 2023 года и, вероятно, совместно с HiatusRat.
Cuttlefish осуществляет перехват данных с помощью "нулевого клика", а также перехватывает HTTP и DNS соединения. Благодаря этим возможностям, оно может захватывать аутентификационные данные и использовать их для доступа к целевым ресурсам. Вредоносная программа способна осуществлять перехват соединений с частными IP-адресами, проходящих через UDP/порт 53 или TCP/порт 80. Если обнаруживается DNS-запрос на частный IP-адрес, он перенаправляется на другой DNS-сервер, указанный в конфигурационном файле. HTTP-запросы перехватываются путем отправки кода ошибки 302, что позволяет Cuttlefish перенаправить соединение на свою контролируемую инфраструктуру. Cuttlefish также сниффирует трафик, направленный на публичные IP-адреса, и ищет "маркеры учетных данных" в GET- и POST-запросах.
Black Lotus Labs обнаружили, что заражение Cuttlefish было особенно распространено в Турции, где 99% заражений произошло от двух основных телекоммуникационных провайдеров. Основные жертвы включают IP-адреса клиентов этих провайдеров. Есть также несколько жертв, не принадлежащих Турции, включая клиентов глобальных провайдеров спутниковой связи и потенциальные центры обработки данных в США.
Black Lotus Labs выявила Cuttlefish через серию вредоносных файлов и начала расследование этого кластера активности. Вредоносный скрипт bash загружает Cuttlefish и включает его в систему. Cuttlefish осуществляет проверку и перехватывает соединения в соответствии с заранее установленными правилами, указанными в конфигурационном файле. Правила вредоносной программы периодически обновляются, чтобы указать, какой трафик надо перехватывать и какие данные собирать. Зараженные данные записываются на зараженном устройстве и, при достижении предела, отправляются на сервер загрузки.
Black Lotus Labs считает, что Cuttlefish и HiatusRat действуют одновременно, и считает, что Cuttlefish создана в интересах Китайской Народной Республики. Это вредное ПО обладает опасными возможностями перехвата и кражи данных в сети.
Indicators of Compromise
X.509 certificate sha256
- E48c250c47dd071dcee984a8e9f27b170004ff81c3f0da6a50364fdecf800fd3
URLs
- http://209.141.49.178/dajfdsfadsfa/arm
- http://209.141.49.178/dajfdsfadsfa/i386
- http://209.141.49.178/dajfdsfadsfa/i386_i686
- http://209.141.49.178/dajfdsfadsfa/i386_x64
- http://209.141.49.178/dajfdsfadsfa/misp32
- http://209.141.49.178/dajfdsfadsfa/misp64
- http://209.141.49.178/r/arm_sniff
- http://209.141.49.178/r/i386_i686_sniff
- http://209.141.49.178/r/i386_sniff
- http://209.141.49.178/r/i386_x64_sniff
- http://209.141.49.178/r/mips32_sniff
- http://209.141.49.178/r/mips64_sniff
- http://209.141.49.178/r/s.sh
- http://209.141.49.178/s
- https://107.189.28.251:443/rules
- https://198.98.56.93:443/rules
- https://198.98.56.93:443/rulesinit
- https://198.98.56.93:443/upload
- https://205.185.122.121/rules
- https://205.185.122.121/rulesinit
- https://205.185.122.121/upload
- https://kkthreas.com
- https://kkthreas.com/upload
- https://pp.kkthreas.com
SHA256
- 07df37d8168e911b189bbe0912b4842fa1fe48d5264e99738ad3247f9c818478
- 10a4edbbb852a1b01fc6fbf0aa1407bc8589432bddb2001ae62702f18d919e89
- 1168e97ccf61600536e93e9c371ee7671bae4198d4bf566550328b241ec52e89
- 23c2e7ff2602e5f76b3f2c354761ef39966facb3b12ed05551816f482d4d5608
- 2ed174523bd80a93b7d09940d375f9c0d71e1ce8ecffb2320e02a78f4b601408
- 2f0911fb892d448910c36a37c9fbdec8c73ccfecc274854b1fa053fb1cc2369b
- 3d9ee05c0841ad65547c0cc8516d092cff48dad5e7bbf97c99ddd44ee94a24bc
- 44b769be0c2a807082a9bfd2f33fdc744552c5c7ca88a812ef4bd0393a50f132
- 4aa23fbdc27d317c6e54481b6d884b962adf6e691a4731c859ddaf9af09822c6
- 6295d5cb21c441066d2da81a76440bcac9bd5a7830fc9faea9668bd0b2015046
- 70693211cd0b14a7463b39b2fa801ce1fdefc85c7f3e003772d1b4deeb78efde
- 73cf20675639c18c04381b5efd7d628736d149734280988f55358e301c1d9bb8
- 94812d391160e4fce821701b944cfd8f5fd9454b3cbb8e8974d1dc259310e500
- 99d5cf32f8198e99c530be4f5e05487e280bacdb8ef26aaf38dc20e301aad75f
- eb7a7ab952080f66c82fe8350da131ce0d7766f203bd4d97b0798b4f59283a27
