Cuttlefish マルウェアは可愛らしいどころか、非常に危険なコンピュータの脅威です

Cuttlefish マルウェアは、一見無害な名前にもかかわらず、SOHO (スモール オフィスおよびホーム オフィス) ルーターにとって大きな脅威となります。主な目的は、これらのデバイスを通過するネットワーク トラフィックを密かに監視し、HTTP GET および POST リクエストから認証データを収集することです。Lumen Technologies の Black Lotus Labs チームのレポートによると、Cuttlefish はモジュール型マルウェアとして動作し、ルーターのローカル エリア ネットワーク (LAN) を介して送信される認証情報を盗むことを主な目的としています。さらに、内部ネットワーク内のプライベート IP スペースへの接続に対して DNS および HTTP ハイジャックを実行する機能も備えています。

Cuttlefish は、HiatusRAT と呼ばれる別の既知のマルウェアと類似点があるという兆候がありますが、これまでのところ、共通の被害者がいるという事例は確認されていません。Cuttlefish は少なくとも 2023 年 7 月 27 日から活動しており、最新のキャンペーンは 2023 年 10 月から 2024 年 4 月まで実行され、主に 2 つのトルコの通信プロバイダーに関連する 600 個の一意の IP アドレスに影響を与えています。

Cuttlefish がネットワーク機器を侵害するために使用する最初のアクセス ベクトルは不明です。ただし、いったん足場を固めると、bash スクリプトを展開してホスト データを収集し、攻撃者が管理するドメインにデータを流出させます。その後、ルーターのアーキテクチャに合わせて調整された Cuttlefish ペイロードをダウンロードして実行します。特に Cuttlefish は、拡張 Berkeley Packet Filter (eBPF) を利用して、Alicloud、Amazon Web Services (AWS)、Digital Ocean、CloudFlare、BitBucket などのパブリック クラウド ベースのサービスに関連する認証データをターゲットとするパッシブ ネットワーク パケット スニッフィングに重点を置いています。

このマルウェアの機能は、コマンド アンド コントロール (C2) サーバーから取得したルール セットによって制御されており、プライベート IP アドレス宛てのトラフィックをハイジャックしたり、パブリック IP 宛てのトラフィックのスニファー機能を起動して認証情報を盗んだりすることができます。さらに、Cuttlefish はプロキシや VPN として機能し、侵害されたルーターを介してキャプチャしたデータを送信できるため、脅威アクターは盗んだ認証情報を使用して標的のリソースにアクセスできます。

要約すると、Cuttlefish は、ルート操作、接続ハイジャック、パッシブ スニッフィング機能を組み合わせた、エッジ ネットワーク機器を盗聴するマルウェアの高度な進化形です。認証データを盗む機能は、クラウド リソースへのアクセスを許可するだけでなく、標的の組織のクラウド エコシステム内に足場を確立し、サイバー セキュリティに大きな脅威をもたらします。