Cuttlefish заражает роутеры и ищет в трафике учетные данные - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Cuttlefish заражает роутеры и ищет в трафике учетные данные - «Новости»

✔Cuttlefish заражает роутеры и ищет в трафике учетные данные - «Новости»

03 мая 2024 431 Новости / Изображения / Заработок / Отступы и поля / Списки / Текст / Преимущества стилей / Вёрстка 0

Исследователи нашли новую малварь Cuttlefish, которая заражает SOHO-маршрутизаторы ради отслеживания проходящих через них данных и кражи аутентификационной информации.


Эксперты Black Lotus Labs компании Lumen Technologies рассказывают, что Cuttlefish предназначен для кражи данных, содержащихся в веб-запросах, которые проходят через маршрутизатор из соседней локальной сети. Вредонос создает прокси- или VPN-туннель на взломанных устройствах и незаметно ворует данные, при этом обходя защитные меры, которые обычно обнаруживают необычную активность, связанную с входом в систему.


Малварь способна выполнять перехват DNS и HTTP, вмешиваясь во внутренние коммуникации и, возможно, внедрять дополнительные полезные нагрузки.


Метод первоначального взлома маршрутизаторов пока не установлен, но предполагается, что это может быть банальный брутфорс или использование известных уязвимостей.



Схема заражения

После получения доступа к роутеру запускается bash-скрипт (s.sh), который собирает данные о хосте, включая информацию о списке каталогов, запущенных процессах и активных соединениях. Этот скрипт загружает и выполняет основную полезную нагрузку Cuttlefish (.timezone), которая загружается в память, чтобы избежать обнаружения, пока файл стирается из файловой системы.


Cuttlefish доступен в различных сборках с поддержкой ARM, i386, i386_i686, i386_x64, mips32 и mips64, то есть охватывает большинство архитектур маршрутизаторов.


После выполнения Cuttlefish использует пакетный фильтр для наблюдения за всеми соединениями устройства. Обнаружив нужные данные, малварь выполняет определенные действия на основе наборов правил, регулярно обновляемых с управляющего сервера хакеров.


Cuttlefish пассивно «слушает» пакеты в поисках «маркеров учетных данных» в трафике, например, имен пользователей, паролей и токенов, особенно связанных с публичными облачными сервисами, такими как Alicloud, AWS, Digital Ocean, CloudFlare и BitBucket.


Данные, соответствующие нужным параметрам, записываются локально и после достижения определенного размера журнала (1048576 байт) передаются на управляющий сервер помощью peer-to-peer VPN (n2n) или прокси-туннеля (socks_proxy), поднятого на устройстве.


«Это привлекло наше внимание, ведь перехват учетных данных может позволить злоумышленникам получать данные из облачных ресурсов, которые не имеют такой же системы логирования и контроля, как традиционные сетевые периметры», — пишут аналитики Black Lotus Labs.



Кража данных

Для трафика приватных IP-адресов, DNS-запросы перенаправляются на указанный DNS-сервер, а HTTP-запросы перенаправляются в контролируемую хакерами инфраструктуру (с помощью ошибки HTTP 302).


«Мы предполагаем, что эта возможность позволяет Cuttlefish перехватывать внутренний трафик (так называемый east-west), проходящий через маршрутизатор, или трафик между сайтами, когда между маршрутизаторами установлено VPN-соединение, — объясняют исследователи. — Дополнительная функциональность открывает доступ к защищенным ресурсам, которые недоступны через публичный интернет».


Хотя исследователи заметили частичные совпадения кода Cuttlefish с кодом малвари HiatusRat (этот вредонос ранее был замечен в кампаниях, связанных с китайскими хакерами), конкретных связей между ними нет, и установить точное авторство Cuttlefish не удалось.


Исследователи полагают, что малварь активна как минимум с июля 2023 года. В настоящее время она сосредоточена на территории Турции, а несколько заражений, обнаруженные в других странах, в основном связаны с провайдерами спутниковой связи и центрами обработки данных.


Для защиты от Cuttlefish эксперты Black Lotus Labs советуют администраторам корпоративных сетей отказаться от слабых учетных данных, следить за подозрительными входами с резидентных IP-адресов, защищать трафик с помощью TLS/SSL, проверять устройства на наличие странных iptables и других аномальных файлов, а также регулярно перезагружать маршрутизаторы.


Исследователи нашли новую малварь Cuttlefish, которая заражает SOHO-маршрутизаторы ради отслеживания проходящих через них данных и кражи аутентификационной информации. Эксперты Black Lotus Labs компании Lumen Technologies рассказывают, что Cuttlefish предназначен для кражи данных, содержащихся в веб-запросах, которые проходят через маршрутизатор из соседней локальной сети. Вредонос создает прокси- или VPN-туннель на взломанных устройствах и незаметно ворует данные, при этом обходя защитные меры, которые обычно обнаруживают необычную активность, связанную с входом в систему. Малварь способна выполнять перехват DNS и HTTP, вмешиваясь во внутренние коммуникации и, возможно, внедрять дополнительные полезные нагрузки. Метод первоначального взлома маршрутизаторов пока не установлен, но предполагается, что это может быть банальный брутфорс или использование известных уязвимостей. Схема заражения После получения доступа к роутеру запускается bash-скрипт (s.sh), который собирает данные о хосте, включая информацию о списке каталогов, запущенных процессах и активных соединениях. Этот скрипт загружает и выполняет основную полезную нагрузку Cuttlefish (.timezone), которая загружается в память, чтобы избежать обнаружения, пока файл стирается из файловой системы. Cuttlefish доступен в различных сборках с поддержкой ARM, i386, i386_i686, i386_x64, mips32 и mips64, то есть охватывает большинство архитектур маршрутизаторов. После выполнения Cuttlefish использует пакетный фильтр для наблюдения за всеми соединениями устройства. Обнаружив нужные данные, малварь выполняет определенные действия на основе наборов правил, регулярно обновляемых с управляющего сервера хакеров. Cuttlefish пассивно «слушает» пакеты в поисках «маркеров учетных данных» в трафике, например, имен пользователей, паролей и токенов, особенно связанных с публичными облачными сервисами, такими как Alicloud, AWS, Digital Ocean, CloudFlare и BitBucket. Данные, соответствующие нужным параметрам, записываются локально и после достижения определенного размера журнала (1048576 байт) передаются на управляющий сервер помощью peer-to-peer VPN (n2n) или прокси-туннеля (socks_proxy), поднятого на устройстве. «Это привлекло наше внимание, ведь перехват учетных данных может позволить злоумышленникам получать данные из облачных ресурсов, которые не имеют такой же системы логирования и контроля, как традиционные сетевые периметры», — пишут аналитики Black Lotus Labs. Кража данных Для трафика приватных IP-адресов, DNS-запросы перенаправляются на указанный DNS-сервер, а HTTP-запросы перенаправляются в контролируемую хакерами инфраструктуру (с помощью ошибки HTTP 302). «Мы предполагаем, что эта возможность позволяет Cuttlefish перехватывать внутренний трафик (так называемый east-west), проходящий через маршрутизатор, или трафик между сайтами, когда между маршрутизаторами установлено VPN-соединение, — объясняют исследователи. — Дополнительная функциональность открывает доступ к защищенным ресурсам, которые недоступны через публичный интернет». Хотя исследователи заметили частичные совпадения кода Cuttlefish с кодом малвари HiatusRat (этот вредонос ранее был замечен в кампаниях, связанных с китайскими хакерами), конкретных связей между ними нет, и установить точное авторство Cuttlefish не удалось. Исследователи полагают, что малварь активна как минимум с июля 2023 года. В настоящее время она сосредоточена на территории Турции, а несколько заражений, обнаруженные в других странах, в основном связаны с провайдерами спутниковой связи и центрами обработки данных. Для защиты от Cuttlefish эксперты Black Lotus Labs советуют администраторам корпоративных сетей отказаться от слабых учетных данных, следить за подозрительными входами с резидентных IP-адресов, защищать трафик с помощью TLS/SSL, проверять устройства на наличие странных iptables и других аномальных файлов, а также регулярно перезагружать маршрутизаторы.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: