Nieuwe Cuttlefish-malware kaapt routerverbindingen en snuffelt naar cloudreferenties

Een nieuwe malware genaamd Inktvis richt zich op routers voor kleine kantoren en thuiskantoren (SOHO) met als doel al het verkeer via de apparaten heimelijk te monitoren en authenticatiegegevens te verzamelen van HTTP GET- en POST-verzoeken.

“Deze malware is modulair en primair ontworpen om authenticatiemateriaal te stelen dat wordt aangetroffen in webverzoeken die de router vanaf het aangrenzende lokale netwerk (LAN) doorgeven”, aldus het Black Lotus Labs-team van Lumen Technologies in een vandaag gepubliceerd rapport.

“Een secundaire functie geeft het de capaciteit om zowel DNS- als HTTP-kaping uit te voeren voor verbindingen met privé-IP-ruimte, geassocieerd met communicatie op een intern netwerk.”

Er is bewijs uit de broncode dat erop wijst dat er sprake is van overlap met een ander eerder bekend activiteitencluster genaamd HiatusRAT, hoewel er tot nu toe geen gedeelde slachtofferschap is waargenomen. Er wordt gezegd dat deze twee operaties gelijktijdig plaatsvinden.

Cyberbeveiliging

Cuttlefish is actief sinds ten minste 27 juli 2023, waarbij de laatste campagne loopt van oktober 2023 tot en met april 2024 en voornamelijk 600 unieke IP-adressen infecteert die zijn gekoppeld aan twee Turkse telecomproviders.

De exacte initiële toegangsvector die wordt gebruikt om netwerkapparatuur in gevaar te brengen, is onduidelijk. Een succesvolle voet aan de grond wordt echter gevolgd door de inzet van een bash-script dat hostgegevens verzamelt, zoals de inhoud van /etc, lopende processen, actieve verbindingen en mounts, en de details exfiltreert naar een door een actor bestuurd domein (“kkthreas[.]com/uploaden”).

Inktvis-malware

Vervolgens wordt de Cuttlefish-payload gedownload en uitgevoerd vanaf een speciale server, afhankelijk van de routerarchitectuur (bijv. Arm, i386, i386_i686, i386_x64, mips32 en mips64).

Een opmerkelijk aspect is dat het passieve snuiven van de netwerkpakketten in de eerste plaats is ontworpen om authenticatiegegevens te onderscheiden die verband houden met openbare cloudgebaseerde diensten zoals Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare en BitBucket door een uitgebreide Berkeley-omgeving te creëren. Pakketfilter (eBPF).

Deze functionaliteit wordt beheerd op basis van een regelset die de malware voorschrijft om ofwel verkeer te kapen dat bestemd is voor een privé-IP-adres, ofwel een sniffer-functie te starten voor verkeer dat naar een openbaar IP-adres gaat om inloggegevens te stelen als aan bepaalde parameters wordt voldaan.

Cyberbeveiliging

De kapingsregels worden op hun beurt opgehaald en bijgewerkt vanaf een command-and-control (C2)-server die voor dit doel is opgezet, nadat er een veilige verbinding mee tot stand is gebracht met behulp van een ingebed RSA-certificaat.

De malware is ook uitgerust om te fungeren als een proxy en een VPN om de vastgelegde gegevens via de geïnfiltreerde router te verzenden, waardoor de bedreigingsactoren de gestolen inloggegevens kunnen gebruiken om toegang te krijgen tot gerichte bronnen.

“Cuttlefish vertegenwoordigt de nieuwste evolutie op het gebied van passieve afluister-malware voor edge-netwerkapparatuur […] omdat het meerdere kenmerken combineert”, aldus het cyberbeveiligingsbedrijf.

“Het heeft de mogelijkheid om routemanipulatie uit te voeren, verbindingen te kapen en gebruik te maken van passieve snuffelmogelijkheden. Met het gestolen sleutelmateriaal haalt de actor niet alleen cloudbronnen op die verband houden met de beoogde entiteit, maar krijgt hij ook voet aan de grond in dat cloud-ecosysteem.”

Thijs Van der Does