Cuttlefish Malware er langt fra at være sød, det er en meget farlig computertrussel
Cuttlefish-malwaren udgør på trods af dets tilsyneladende harmløse navn en betydelig trussel mod små kontor- og hjemmekontorroutere (SOHO). Dets primære mål er hemmeligt at overvåge netværkstrafik, der passerer gennem disse enheder og indsamle autentificeringsdata fra HTTP GET- og POST-anmodninger. Ifølge en rapport fra Black Lotus Labs-teamet hos Lumen Technologies, fungerer Cuttlefish som en modulær malware med et primært fokus på at stjæle godkendelsesoplysninger, der er transmitteret gennem routerens lokale netværk (LAN). Derudover har den mulighed for at udføre DNS- og HTTP-kapring for forbindelser til private IP-rum i et internt netværk.
Der er indikationer på, at Cuttlefish deler ligheder med en anden kendt malware kaldet HiatusRAT, selvom der endnu ikke er blevet observeret tilfælde af delt victimology. Cuttlefish har været aktiv siden mindst 27. juli 2023, med dens seneste kampagne, der løber fra oktober 2023 til april 2024, og har overvejende påvirket 600 unikke IP-adresser tilknyttet to tyrkiske teleudbydere.
Den indledende adgangsvektor, der blev brugt af Cuttlefish til at kompromittere netværksudstyr, er stadig uklar. Men når det først har fået fodfæste, implementerer det et bash-script til at indsamle værtsdata og eksfiltrere det til et aktørkontrolleret domæne. Efterfølgende downloader og udfører den Cuttlefish-nyttelasten, der er skræddersyet til routerens arkitektur. Navnlig fokuserer Cuttlefish på passiv netværkspakkesniffing for at målrette godkendelsesdata forbundet med offentlige cloud-baserede tjenester såsom Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare og BitBucket, ved at bruge et udvidet Berkeley Packet Filter (eBPF).
Malwarens funktionalitet er styret af et regelsæt hentet fra en kommando-og-kontrol-server (C2), hvilket gør det muligt for den at kapre trafik bestemt til private IP-adresser eller starte en sniffer-funktion for trafik på vej til offentlige IP'er for at stjæle legitimationsoplysninger. Ydermere kan Cuttlefish fungere som proxy og VPN til at overføre opsamlede data gennem den kompromitterede router, hvilket gør det muligt for trusselsaktører at få adgang til målrettede ressourcer ved hjælp af stjålne legitimationsoplysninger.
Sammenfattende repræsenterer Cuttlefish en sofistikeret udvikling inden for passiv aflytning af malware til kantnetværksudstyr, der kombinerer rutemanipulation, forbindelseskapring og passive sniffing-funktioner. Dens evne til at stjæle godkendelsesdata giver ikke kun adgang til cloud-ressourcer, men etablerer også fodfæste i den målrettede enheds cloud-økosystem, hvilket udgør en betydelig trussel mod cybersikkerhed.
