Kurumsal düzeyde küçük ofis/ev ofisi (SOHO) yönlendiricilerini hedef alan yeni bir kötü amaçlı yazılım ailesi olan Cuttlefish, suçlular tarafından AWS, CloudFlare, Docker, BitBucket, Alibaba Cloud ve diğer bulut tabanlı hizmetlere ilişkin hesap kimlik bilgilerini/gizlerini çalmak için kullanılıyor.
Black Lotus Labs araştırmacıları, “Çalınan anahtar materyalle, aktör yalnızca hedeflenen varlıkla ilişkili bulut kaynaklarını almakla kalmıyor, aynı zamanda bu bulut ekosisteminde bir yer ediniyor” dedi.
“Verileri sızdırmak için tehdit aktörü önce güvenliği ihlal edilmiş bir yönlendirici üzerinden bir proxy veya VPN tüneli oluşturur, ardından hedeflenen kaynaklara erişmek için çalınan kimlik bilgilerini kullanır. İsteği yönlendirici aracılığıyla gönderen aktörün, çalınan kimlik doğrulama bilgilerini kullanarak anormal oturum açma tabanlı analizlerden kaçabileceğinden şüpheleniyoruz.”
Mürekkepbalığı SOHO yönlendiricilerini nasıl etkiliyor ve kullanıyor?
Araştırmacılar, Mürekkepbalığı kullanan saldırganların hedef yönlendiricilere nasıl erişim sağladığını henüz bilmiyorlar, ancak cihaz hakkında veri toplayan ve kötü amaçlı yazılımı indirip çalıştıran, yani onu cihazların hafızasına yükleyen bir bash betiği yüklediklerini biliyorlar (ve dosya sisteminden siler).
Kötü amaçlı yazılım, cihazdan geçen trafiği izleyen bir paket filtresi yükler. Genel IP adreslerine gönderilen kimlik bilgilerini “koklar” (çalar) ve özel IP adreslerine yönlendirilen trafiği ele geçirir.
Mürekkepbalığı iş başında (Kaynak: Lumen Technologies / Black Lotus Labs)
“Şüpheleniyoruz [the latter] Bu özellik, Cuttlefish’in yönlendirici üzerinden dahili (diğer adıyla ‘doğu-batı’) trafiği veya yönlendiriciler arasında bir VPN bağlantısı kurulduğunda siteden siteye trafiği ele geçirmesine olanak tanır. Ek işlev, halka açık internet üzerinden erişilemeyen güvenli kaynaklara kapı açıyor” diye açıkladılar.
“Bu bulut hizmetlerini hedeflemenin, saldırganların, EDR veya ağ bölümlendirme gibi güvenlik kontrolleriyle uğraşmak zorunda kalmadan, dahili olarak barındırılan aynı materyallerin çoğuna erişmesine olanak tanıdığından şüpheleniyoruz. Hedeflenen ağ ekipmanının (çoğunlukla izlenmeyen) ve bulut ortamlarına erişim elde etmenin (çoğunlukla oturum açma özelliği olmayan) kombinasyonunun, hedeflenen ekosistemlere uzun vadeli kalıcı erişim sağlamayı amaçladığını değerlendiriyoruz.”
Kötü amaçlı Mürekkepbalığı ikili dosyası, SOHO işletim sistemleri tarafından kullanılan tüm önemli mimariler için derlenmiştir: ARM, i386, i386_i686, i386_x64, mips32 ve mips64.
Araştırmacılar, kötü amaçlı yazılımın aynı zamanda LAN üzerindeki diğer cihazlarla etkileşime girebildiğini, materyal taşıyabildiğini veya yeni aracılar tanıtabildiğini buldu.
SOHO yönlendirici kullanıcıları için tavsiyeler
HiatusRAT ve Cuttlefish arasında bazı kod ve yapı yolu benzerlikleri olsa da ikisinin arkasında aynı saldırganların olduğuna dair kesin bir kanıt yok.
Araştırmacılar, “Lumen’in Mürekkepbalığı kampanyalarını çevreleyen küresel ağ telemetrisi tuhaftı; doğrulanan C2’ye olan bağlantıların yaklaşık %99’u, Ekim 2023’ün başına kadar uzanan Türkiye merkezli IP adreslerinden kaynaklanıyordu” dedi ve uzlaşma ve uzlaşma göstergelerini paylaştılar. Hem kurumsal ağ savunmalarına hem de SOHO yönlendiricilere sahip tüketicilere tavsiyeler.
“İnternet yönlendiricileri, genellikle güvenlik izlemeyi azalttıkları, daha az sıkı parola politikalarına sahip oldukları, sık sık güncellenmedikleri ve kripto para madencileri, proxy’ler gibi kötü amaçlı yazılımların yüklenmesine izin veren güçlü işletim sistemleri kullanabildikleri için tehdit aktörlerinin tehlikeye atabileceği popüler bir varlık olmaya devam ediyor. Trend Micro araştırmacıları yakın zamanda şunu belirtti: dağıtılmış hizmet reddi (DDoS kötü amaçlı yazılımı), kötü amaçlı komut dosyaları ve web sunucuları.
“SOHO yönlendiricileri gibi internete bakan cihazlar aynı zamanda suç amaçları ve casusluk için de popüler bir varlıktır. Güvenliği ihlal edilmiş SOHO yönlendiricilerinin ağlarından bazıları, herkesin kötüye kullanabileceği bir hayvanat bahçesi gibi görünse de, özellikle de varsayılan kimlik bilgileri geçerli kaldığında, kötü niyetli aktörler bu gürültülü ortamdan kendi çıkarları için faydalanabilir ve bunları gizlice kullanabilirler.”