Cuttlefish è un malware recentemente identificato dai Black Lotus Labs di Lumen Technologies, che colpisce principalmente i router SOHO (Small Office/Home Office) di livello enterprise. Questo malware modulare è progettato per intercettare dati sensibili e manipolare il traffico di rete.

Funzionalità del malware

Il principale obiettivo di Cuttlefish è rubare credenziali autenticate attraverso le richieste web che transitano tramite il router. Una funzione secondaria permette al malware di dirottare sia il traffico DNS che HTTP, mirando a connessioni verso spazi IP privati. Cuttlefish è in grado di interagire con altri dispositivi sulla rete locale (LAN) e trasferire o introdurre nuovi agenti.

Connessioni e metodologie

Analizzando le somiglianze nel codice e i percorsi di costruzione incorporati, è stata rilevata una sovrapposizione con un cluster di attività precedentemente segnalato chiamato HiatusRat, che mostra interessi attribuibili alla Repubblica Popolare Cinese. Sebbene ci sia una sovrapposizione di codice tra Cuttlefish e HiatusRat, non sono stati osservati vittime comuni.

Campionamento e analisi tecnica

Cuttlefish utilizza un approccio zero-click per catturare dati da utenti e dispositivi dietro il perimetro di rete bersaglio. Il malware utilizza un packet sniffer progettato per acquisire materiale di autenticazione, soprattutto da servizi basati su cloud. Per esfiltrare i dati, gli attaccanti creano un tunnel proxy o VPN attraverso un router compromesso, utilizzando credenziali rubate per accedere a risorse mirate.

Vittime e distribuzione

Il pattern di infezione è stato unico, con il 99% delle infezioni verificatesi in Turchia, principalmente attraverso due fornitori di telecomunicazioni. Altre vittime non turche includono indirizzi IP di clienti probabilmente associati a fornitori globali di telefonia satellitare e un possibile data center con sede negli Stati Uniti.

CISA (Cybersecurity and Infrastructure Security Agency) ha annunciato importanti aggiornamenti sulla sicurezza per i sistemi di controllo industriale (ICS) e ha aggiunto una nuova vulnerabilità al suo catalogo di vulnerabilità sfruttate conosciute. Ecco una sintesi dettagliata delle recenti pubblicazioni e delle loro implicazioni.

Aggiornamenti su tre avvisi ICS

Il 30 aprile 2024, CISA ha rilasciato tre avvisi per sistemi di controllo industriale che affrontano questioni di sicurezza, vulnerabilità ed exploit attuali. I dettagli specifici di questi avvisi includono:

1. ICSA-24-121-01 Delta Electronics CNCSoft-G2 DOPSoft – Questo avviso riguarda una specifica vulnerabilità nel software CNCSoft-G2 DOPSoft di Delta Electronics, che potrebbe essere sfruttata per compromettere i sistemi.
2. ICSA-24-016-01 SEW-EURODRIVE MOVITOOLS MotionStudio (Update A) – Un aggiornamento sulla sicurezza del software MOVITOOLS MotionStudio di SEW-EURODRIVE, con dettagli su mitigazioni e correzioni per vulnerabilità note.
3. ICSA-24-109-01 Unitronics Vision Legacy Series (Update A) – Fornisce informazioni sulla sicurezza per la serie legacy Vision di Unitronics, evidenziando gli aggiornamenti necessari per affrontare le minacce attuali.

CISA incoraggia gli utenti e gli amministratori a esaminare attentamente questi avvisi per dettagli tecnici e misure di mitigazione.

Nuova vulnerabilità nel catalogo delle vulnerabilità sfruttate

In aggiunta agli avvisi ICS, CISA ha inserito una nuova vulnerabilità nel suo Catalogo delle Vulnerabilità Sfruttate Conosciute:

• CVE-2024-29988 – Una vulnerabilità nel Microsoft SmartScreen che permette di bypassare le funzioni di sicurezza. Questa vulnerabilità è particolarmente critica poiché è stata attivamente sfruttata, rappresentando un rischio significativo per l’impresa federale.

Direttiva operativa vincolante (BOD) 22-01

La BOD 22-01 stabilisce il Catalogo delle Vulnerabilità Sfruttate Conosciute come un elenco dinamico di vulnerabilità comuni (CVE) che presentano rischi significativi per l’impresa federale. Questa direttiva richiede alle agenzie del ramo esecutivo civile federale (FCEB) di rimediare alle vulnerabilità identificate entro le date stabilite per proteggere le reti FCEB da minacce attive.

Anche se la BOD 22-01 si applica solo alle agenzie FCEB, CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici dando priorità alla tempestiva rimediazione delle vulnerabilità elencate nel catalogo, come parte della loro pratica di gestione delle vulnerabilità.

Questi aggiornamenti rafforzano l’importanza della vigilanza continua e dell’adozione di pratiche di sicurezza informatica robuste per proteggere infrastrutture critiche e dati sensibili contro le minacce in evoluzione.

Un nuovo malware per Android chiamato “Wpeeper” è stato scoperto, notevole per la sua capacità di utilizzare siti WordPress compromessi come relè per i suoi veri server di comando e controllo (C2). Questo metodo serve come meccanismo di evasione per mascherare le sue vere attività.

Modalità di azione

Wpeeper è stato identificato per la prima volta il 18 aprile 2024 dal team XLab di QAX, durante l’analisi di un file ELF sconosciuto incorporato in file APK (Android package files), che al momento della scoperta non aveva rilevamenti su VirusTotal. L’attività del malware è cessata bruscamente il 22 aprile, presumibilmente come decisione strategica per mantenere un basso profilo ed evitare la rilevazione da parte di professionisti della sicurezza e sistemi automatizzati.

Struttura di comunicazione del C2

Wpeeper struttura la sua comunicazione C2 per sfruttare i siti WordPress compromessi come punti di relè intermedi, oscurando la posizione e l’identità dei suoi veri server C2. I comandi inviati dal C2 ai bot sono inoltrati tramite questi siti, e sono inoltre criptati AES e firmati con una firma a curva ellittica per impedire l’acquisizione da parte di terzi non autorizzati.

Capacità del malware

Le principali funzionalità di Wpeeper includono il furto di dati, facilitato da un ampio set di comandi con 13 funzioni distinte, come il recupero di informazioni dettagliate sull’apparecchio infetto, l’elenco delle applicazioni installate, l’aggiornamento degli indirizzi del server C2, e la capacità di scaricare ed eseguire file arbitrari.

Precauzioni raccomandate

Per evitare rischi come Wpeeper, si raccomanda di installare applicazioni solo dall’app store ufficiale di Android, Google Play, e di assicurarsi che lo strumento anti-malware integrato del sistema operativo, Play Protect, sia attivo sul dispositivo.

L’emergere di Wpeeper sottolinea l’importanza di misure di sicurezza robuste e la vigilanza continua, soprattutto considerando come gli attori di minacce continuano a trovare nuovi modi per sfruttare infrastrutture e tecnologie legittime per condurre attività maligne.