Cuttlefish-malware is verre van schattig; het is een zeer gevaarlijke computerbedreiging

De Cuttlefish-malware vormt, ondanks zijn ogenschijnlijk onschuldige naam, een aanzienlijke bedreiging voor routers voor kleine kantoren en thuiskantoren. Het primaire doel is om clandestien netwerkverkeer dat door deze apparaten gaat te monitoren en authenticatiegegevens te verzamelen uit HTTP GET- en POST-verzoeken. Volgens een rapport van het Black Lotus Labs-team van Lumen Technologies werkt Cuttlefish als een modulaire malware, met een primaire focus op het stelen van authenticatie-informatie die wordt verzonden via het lokale netwerk (LAN) van de router. Bovendien heeft het de mogelijkheid om DNS- en HTTP-kaping uit te voeren voor verbindingen met privé-IP-ruimtes binnen een intern netwerk.

Er zijn aanwijzingen dat Cuttlefish overeenkomsten vertoont met een andere bekende malware genaamd HiatusRAT, hoewel er tot nu toe nog geen gevallen van gedeeld slachtofferschap zijn waargenomen. Cuttlefish is in ieder geval sinds 27 juli 2023 actief en de laatste campagne loopt van oktober 2023 tot en met april 2024 en heeft voornamelijk betrekking op 600 unieke IP-adressen die zijn gekoppeld aan twee Turkse telecomproviders.

De initiële toegangsvector die Cuttlefish gebruikt om netwerkapparatuur in gevaar te brengen, blijft onduidelijk. Zodra het echter vaste voet aan de grond krijgt, wordt een bash-script ingezet om hostgegevens te verzamelen en deze naar een door een actor bestuurd domein te exfiltreren. Vervolgens downloadt en voert het de Cuttlefish-payload uit, afgestemd op de architectuur van de router. Cuttlefish richt zich met name op het passief snuiven van netwerkpakketten om zich te richten op authenticatiegegevens die verband houden met openbare cloudgebaseerde diensten zoals Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare en BitBucket, waarbij gebruik wordt gemaakt van een uitgebreid Berkeley Packet Filter (eBPF).

De functionaliteit van de malware wordt bepaald door een regelset die wordt opgehaald van een command-and-control (C2)-server, waardoor deze verkeer kan kapen dat bestemd is voor privé-IP-adressen of een sniffer-functie kan starten voor verkeer dat naar openbare IP's gaat om inloggegevens te stelen. Bovendien kan Cuttlefish fungeren als proxy en VPN om vastgelegde gegevens via de gecompromitteerde router te verzenden, waardoor bedreigingsactoren toegang kunnen krijgen tot gerichte bronnen met behulp van gestolen inloggegevens.

Samenvattend vertegenwoordigt Cuttlefish een geavanceerde evolutie in passieve afluistermalware voor randnetwerkapparatuur, waarbij routemanipulatie, verbindingskaping en passieve snuffelmogelijkheden worden gecombineerd. Het vermogen om authenticatiegegevens te stelen geeft niet alleen toegang tot cloudbronnen, maar vestigt ook voet aan de grond binnen het cloud-ecosysteem van de beoogde entiteit, wat een aanzienlijke bedreiging voor de cyberveiligheid vormt.