Blekksprutmalware er langt fra å være søt, det er en veldig farlig datamaskintrussel
Skadevaren Cuttlefish, til tross for det tilsynelatende harmløse navnet, utgjør en betydelig trussel mot små kontor- og hjemmekontorrutere (SOHO). Dens primære mål er å hemmelig overvåke nettverkstrafikk som passerer gjennom disse enhetene og samle autentiseringsdata fra HTTP GET- og POST-forespørsler. I følge en rapport fra Black Lotus Labs-teamet ved Lumen Technologies, opererer Cuttlefish som en modulær skadelig programvare, med et primært fokus på å stjele autentiseringsinformasjon overført gjennom ruterens lokale nettverk (LAN). I tillegg har den muligheten til å utføre DNS- og HTTP-kapring for tilkoblinger til private IP-rom innenfor et internt nettverk.
Det er indikasjoner på at Cuttlefish deler likheter med en annen kjent skadelig programvare kalt HiatusRAT, selv om det ennå ikke har vært observert tilfeller av delt victimology. Cuttlefish har vært aktiv siden minst 27. juli 2023, med sin siste kampanje som går fra oktober 2023 til april 2024, og har hovedsakelig påvirket 600 unike IP-adresser knyttet til to tyrkiske telekomleverandører.
Den første tilgangsvektoren som ble brukt av Cuttlefish for å kompromittere nettverksutstyr er fortsatt uklar. Men når det først har fått fotfeste, distribuerer det et bash-skript for å samle vertsdata og eksfiltrere det til et aktørkontrollert domene. Deretter laster den ned og kjører Cuttlefish-nyttelasten skreddersydd for ruterens arkitektur. Spesielt fokuserer Cuttlefish på passiv nettverkspakkesniffing for å målrette autentiseringsdata knyttet til offentlige skybaserte tjenester som Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare og BitBucket, ved å bruke et utvidet Berkeley Packet Filter (eBPF).
Skadevarens funksjonalitet styres av et regelsett hentet fra en kommando-og-kontroll-server (C2), som lar den kapre trafikk som er bestemt for private IP-adresser eller starte en sniffer-funksjon for trafikk som går til offentlige IP-er for å stjele legitimasjon. Videre kan Cuttlefish fungere som en proxy og VPN for å overføre fanget data gjennom den kompromitterte ruteren, slik at trusselaktører kan få tilgang til målrettede ressurser ved å bruke stjålet legitimasjon.
Oppsummert representerer Cuttlefish en sofistikert utvikling innen passiv avlytting av skadelig programvare for edge-nettverksutstyr, som kombinerer rutemanipulasjon, tilkoblingskapring og passive sniffing-funksjoner. Dens evne til å stjele autentiseringsdata gir ikke bare tilgang til skyressurser, men etablerer også fotfeste innenfor den målrettede enhetens skyøkosystem, noe som utgjør en betydelig trussel mot cybersikkerhet.
