Il malware Seppia è lungi dall'essere carino, è una minaccia informatica molto pericolosa

Il malware Cuttlefish, nonostante il suo nome apparentemente innocuo, rappresenta una minaccia significativa per i router dei piccoli uffici e degli uffici domestici (SOHO). Il suo obiettivo principale è monitorare clandestinamente il traffico di rete che passa attraverso questi dispositivi e raccogliere dati di autenticazione dalle richieste HTTP GET e POST. Secondo un rapporto del team Black Lotus Labs di Lumen Technologies, Cuttlefish funziona come un malware modulare, con l'obiettivo principale di rubare le informazioni di autenticazione trasmesse attraverso la rete locale (LAN) del router. Inoltre, ha la capacità di eseguire il dirottamento DNS e HTTP per le connessioni a spazi IP privati all'interno di una rete interna.

Ci sono indicazioni che Cuttlefish condivida somiglianze con un altro malware noto chiamato HiatusRAT, sebbene non siano stati ancora osservati casi di vittimologia condivisa. Cuttlefish è attivo almeno dal 27 luglio 2023, con la sua ultima campagna che va da ottobre 2023 ad aprile 2024, interessando prevalentemente 600 indirizzi IP univoci associati a due fornitori di telecomunicazioni turchi.

Il vettore di accesso iniziale utilizzato da Cuttlefish per compromettere le apparecchiature di rete rimane poco chiaro. Tuttavia, una volta preso piede, distribuisce uno script bash per raccogliere i dati dell’host ed esfiltrarli in un dominio controllato dall’attore. Successivamente scarica ed esegue il payload Cuttlefish adattato all'architettura del router. In particolare, Cuttlefish si concentra sullo sniffing passivo dei pacchetti di rete per prendere di mira i dati di autenticazione associati a servizi pubblici basati su cloud come Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare e BitBucket, utilizzando un Berkeley Packet Filter (eBPF) esteso.

La funzionalità del malware è regolata da un set di regole recuperato da un server di comando e controllo (C2), che gli consente di dirottare il traffico destinato a indirizzi IP privati o avviare una funzione di sniffer per il traffico diretto a IP pubblici per rubare credenziali. Inoltre, Cuttlefish può fungere da proxy e VPN per trasmettere i dati acquisiti attraverso il router compromesso, consentendo agli autori delle minacce di accedere alle risorse mirate utilizzando credenziali rubate.

In sintesi, Cuttlefish rappresenta un’evoluzione sofisticata del malware di intercettazione passiva per apparecchiature di rete edge, che combina manipolazione del percorso, dirottamento della connessione e capacità di sniffing passivo. La sua capacità di rubare i dati di autenticazione non solo garantisce l'accesso alle risorse cloud, ma stabilisce anche un punto d'appoggio all'interno dell'ecosistema cloud dell'entità presa di mira, ponendo una minaccia significativa alla sicurezza informatica.