首頁 最新動態Spot news 新聞中心
  • 尋找:

新聞中心

2024-07-05
隱藏在網路設備端竊聽的沉默殺手Cuttlefish | 資安威脅事件情資分享點閱數:560
文章出處:BCSS / 2024  六月號第3期 | 資安威脅事件情資分享
發表時間:2024-06-20
原文引用:BCSS 駭情發送台
 
▶ 前言:
Cuttlefish 是一隻前所未見的惡意程式,正鎖定著企業或小型企業(SOHO)的路由器,其目的是秘密監控通過這些設備的所有封包及流量,並從HTTP GET和POST請求中收集憑證數據及重要資料,並對私有IP的連線發動DNS及HTTP劫持攻擊。
 
 
▶ 事件描述總結:
  • Cuttlefish這種惡意程式是模組化的,主要目的是竊取相鄰的區域網路(LAN)傳輸Web 請求中,擷取並發現身份驗證資料,更有攻擊者,可以對私有IP的連線發動DNS及HTTP劫持攻擊。
  • Cuttlefish使用「零點選 (Zero-click)」攻擊手法,可從網路邊緣捕捉使用者和裝置資料,網路設備被其滲透後,任何流經的資料都可能曝光。Cuttlefish 其手法是靜靜埋伏在網路設備上,被動聽取封包,它只會被預先定義的規則集 (ruleset) 觸發。
  • 攻擊者會透過VPN Tunnel,或是利用真實及合法IP組成的代理服務(Residential Proxies)來建立連線,後續利用外流的帳密資料存取目標裝置,以規避異常登入的偵測機制,避免異常告警。
  • Cuttlefish自2023年7月27日起就已經活躍,但最新的攻擊活動從2023年10月一直持續到今年4月,另外有些分析表示,Cuttlefish 與 HiatusRat活動特徵是有相當重疊性的,儘管迄今尚未觀察到共同的受害者特徵。據說這兩個操作正在同時運行。
  • 目前尚不清楚用於破壞網絡設備的準確初始存取向量。旦假如成功建立立足點,就會部屬一個bash腳本,用於收集主機資訊,例如/etc目錄的內容、運行中的進程、活動連接和掛載,並將詳細信息外洩到一個由攻擊者控制的域名("kkthreas[.]com/upload")。
 
 
Cuttlefish惡意程式正在企業和SOHO路由器中潛伏,其隱密地從網際網路流量中蒐集組織對公有雲驗證數據的能力。故其影響範圍:
  • 導致公有雲服務的安全風險,因為驗證數據是訪問和雲服務管理的關鍵因素。
  • 也可能導致組織內敏感資料的外洩,因為惡意程式可以從網絡流量中竊取敏感的身份驗證數據。這也可能導致網絡設備受到損壞或受到入侵,影響組織的正常營運。 
 
 
▶ 建議一般緩解措施:
  • 及時更新路由器韌體,並確保路由器韌體和軟體保持最新。
  • 實施強大的身分驗證及訪問控制措施,以防止未經授權的訪問和潛在的惡意程式入侵。
  • 使用安全網路設備和解決方案:利用設備監控和過濾網絡流量,用以檢測和阻止任何異常或惡意活動。
  • 機敏資料加密:資料加密來保護資料的安全性,防止其被不當訪問和盜取。
  • 實施安全培訓和意識提升:定期向員工提供有關網絡安全的教育訓練,提高他們對於惡意攻擊的識別能力和安全意識。
  • 使用業界認可的安全產品:選擇和部署受信任的安全解決方案和產品,如入侵檢測系統(IDS)和入侵防禦系統(IPS),以及網絡安全監控工具,以及端點保護平台。
以上建議僅為一般參考,具體作業應根據組織的實際需求和環境進行調整。
▶ 資安工具緩解措施:
  • 導入身分零信任機制:採用FIDO無密碼驗證,強化身分驗證與訪問控制。
  • Array SSL VPN設備:強化縱深防禦、分散廠牌風險,強化VPN管控機制。
  • Darktrace 等NDR工具監測可疑流量。
  • 利用資料加密系統(如THALES、TrustView等),進行重要或機敏資料加密防護。
  • 使用MDR服務,加強端點監控並利用行為分析技術識別和阻止惡意活動。
 
 
▶ 參考資料來源 : 
 

 


上一則   |   回上頁   |   下一則