Yeni bir kötü amaçlı yazılım adı verildi Mürekkepbalığı Cihazlar arasındaki tüm trafiği gizlice izlemek ve HTTP GET ve POST isteklerinden kimlik doğrulama verilerini toplamak amacıyla küçük ofis ve ev ofisi (SOHO) yönlendiricilerini hedefliyor.
Lumen Technologies’deki Black Lotus Labs ekibi bugün yayınlanan bir raporda, “Bu kötü amaçlı yazılım modülerdir ve öncelikle yönlendiriciyi bitişik yerel alan ağından (LAN) aktaran web isteklerinde bulunan kimlik doğrulama malzemesini çalmak için tasarlanmıştır.” dedi.
“İkincil bir işlev, dahili bir ağdaki iletişimlerle ilişkili özel IP alanına bağlantılar için hem DNS hem de HTTP ele geçirme kapasitesini sağlar.”
Bugüne kadar ortak bir mağduriyet gözlemlenmemiş olsa da, HiatusRAT adı verilen önceden bilinen başka bir faaliyet kümesiyle örtüştüğünü gösteren kaynak kodu kanıtları mevcut. Bu iki operasyonun eş zamanlı yürütüldüğü söyleniyor.
Mürekkep balığı en az 27 Temmuz 2023’ten bu yana aktif; en son kampanya Ekim 2023’ten Nisan 2024’e kadar sürüyor ve ağırlıklı olarak iki Türk telekom sağlayıcısına bağlı 600 benzersiz IP adresini etkiliyor.
Ağ donanımını tehlikeye atmak için kullanılan kesin başlangıç erişim vektörü belirsizdir. Bununla birlikte, başarılı bir dayanak noktasını, /etc içeriği, çalışan işlemler, aktif bağlantılar ve bağlamalar gibi ana bilgisayar verilerini toplayan ve ayrıntıları aktör tarafından kontrol edilen bir alana (“kkthreas) sızdıran bir bash betiğinin konuşlandırılması izler.[.]com/upload”).
Daha sonra, yönlendirici mimarisine bağlı olarak (örneğin, Arm, i386, i386_i686, i386_x64, mips32 ve mips64) Mürekkepbalığı yükünü özel bir sunucudan indirir ve çalıştırır.
Dikkate değer bir husus, ağ paketlerinin pasif koklama işleminin öncelikle Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare ve BitBucket gibi genel bulut tabanlı hizmetlerle ilişkili kimlik doğrulama verilerini genişletilmiş bir Berkeley oluşturarak ayırmak için tasarlanmış olmasıdır. Paket Filtresi (eBPF).
Bu işlevsellik, kötü amaçlı yazılımın ya özel bir IP adresine yönlendirilen trafiği ele geçirmesini ya da belirli parametrelerin karşılanması durumunda kimlik bilgilerini çalmak amacıyla genel bir IP’ye giden trafik için bir yoklama işlevi başlatmasını zorunlu kılan bir kural kümesine dayalı olarak yönetilir.
Ele geçirme kuralları, bu amaç için kurulmuş bir komut ve kontrol (C2) sunucusundan, yerleşik bir RSA sertifikası kullanılarak güvenli bir bağlantı kurulduktan sonra alınır ve güncellenir.
Kötü amaçlı yazılım aynı zamanda, yakalanan verileri sızılan yönlendirici üzerinden iletmek için bir proxy ve VPN görevi görecek şekilde donatılmıştır, böylece tehdit aktörlerinin hedeflenen kaynaklara erişmek için çalınan kimlik bilgilerini kullanmasına olanak tanır.
“Mürekkep balığı, uç ağ donanımları için pasif gizli dinleme kötü amaçlı yazılımlarındaki en son evrimi temsil ediyor […] Siber güvenlik firması, birden fazla özelliği birleştirdiği için “dedi.
“Rota manipülasyonu, bağlantıları ele geçirme yeteneği var ve pasif koklama yeteneği kullanıyor. Çalınan anahtar materyalle, aktör yalnızca hedeflenen varlıkla ilişkili bulut kaynaklarını ele geçirmekle kalmıyor, aynı zamanda bu bulut ekosisteminde bir yer ediniyor.”