Bläckfisk Malware är långt ifrån söt, det är ett mycket farligt datorhot

Bläckfisk skadlig programvara, trots sitt till synes ofarliga namn, utgör ett betydande hot mot routrar för små kontor och hemmakontor (SOHO). Dess primära mål är att hemlig övervaka nätverkstrafik som passerar genom dessa enheter och samla in autentiseringsdata från HTTP GET- och POST-förfrågningar. Enligt en rapport från Black Lotus Labs-teamet på Lumen Technologies, fungerar Cuttlefish som en modulär skadlig programvara, med ett primärt fokus på att stjäla autentiseringsinformation som överförs via routerns lokala nätverk (LAN). Dessutom har den förmågan att utföra DNS- och HTTP-kapning för anslutningar till privata IP-utrymmen inom ett internt nätverk.

Det finns indikationer på att Cuttlefish delar likheter med en annan känd skadlig programvara som heter HiatusRAT, även om det ännu inte har observerats fall av delad victimology. Cuttlefish har varit aktiv sedan åtminstone den 27 juli 2023, med sin senaste kampanj som löper från oktober 2023 till april 2024, och har huvudsakligen påverkat 600 unika IP-adresser associerade med två turkiska telekomleverantörer.

Den initiala åtkomstvektorn som används av Cuttlefish för att äventyra nätverksutrustning är fortfarande oklart. Men när det väl har fått fotfäste, distribuerar det ett bash-skript för att samla in värddata och exfiltrera det till en aktörskontrollerad domän. Därefter laddar den ner och kör Cuttlefish-nyttolasten som är skräddarsydd för routerns arkitektur. Noterbart fokuserar Cuttlefish på passiv nätverkspaketsniffning för att inrikta sig på autentiseringsdata associerade med offentliga molnbaserade tjänster som Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare och BitBucket, med hjälp av ett utökat Berkeley Packet Filter (eBPF).

Skadlig programvaras funktionalitet styrs av en regeluppsättning som hämtas från en kommando-och-kontroll-server (C2), vilket gör att den kan kapa trafik avsedd för privata IP-adresser eller initiera en snifferfunktion för trafik som går till offentliga IP-adresser för att stjäla referenser. Dessutom kan Cuttlefish fungera som proxy och VPN för att överföra infångad data genom den komprometterade routern, vilket gör det möjligt för hotaktörer att komma åt riktade resurser med hjälp av stulna referenser.

Sammanfattningsvis representerar Cuttlefish en sofistikerad utveckling av skadlig programvara för passiv avlyssning för edge-nätverksutrustning, som kombinerar ruttmanipulation, anslutningskapning och passiv sniffning. Dess förmåga att stjäla autentiseringsdata ger inte bara tillgång till molnresurser utan etablerar också ett fotfäste inom den målinriktade enhetens moln-ekosystem, vilket utgör ett betydande hot mot cybersäkerhet.