Cuttlefish 惡意軟體一點也不可愛,它是一種非常危險的電腦威脅
Cuttlefish 惡意軟體儘管名字看似無害,但卻對小型辦公室和家庭辦公室 (SOHO) 路由器構成了重大威脅。其主要目標是秘密監視通過這些設備的網路流量,並從 HTTP GET 和 POST 請求收集身份驗證資料。根據 Lumen Technologies Black Lotus Labs 團隊的一份報告,Cuttlefish 作為模組化惡意軟體運行,主要專注於竊取透過路由器區域網路 (LAN) 傳輸的身份驗證資訊。此外,它還能夠執行 DNS 和 HTTP 劫持,以連接到內部網路內的專用 IP 空間。
有跡象表明,Cuttlefish 與另一種名為 HiatusRAT 的已知惡意軟體有相似之處,儘管目前尚未觀察到共享受害者的案例。 Cuttlefish 至少自 2023 年 7 月 27 日起就一直活躍,其最新活動從 2023 年 10 月到 2024 年 4 月運行,主要影響與兩家土耳其電信提供商相關的 600 個唯一 IP 位址。
Cuttlefish 用於破壞網路設備的初始存取向量仍不清楚。然而,一旦它站穩腳跟,它就會部署一個 bash 腳本來收集主機資料並將其滲透到攻擊者控制的網域。隨後,它下載並執行適合路由器架構的 Cuttlefish 有效負載。值得注意的是,Cuttlefish 專注於被動網路封包嗅探,以利用擴展的伯克利封包過濾器(eBPF),以與基於公有雲的服務(例如Alicloud、Amazon Web Services (AWS)、Digital Ocean、CloudFlare和BitBucket)相關的目標身份驗證資料。
此惡意軟體的功能由從命令與控制 (C2) 伺服器檢索的規則集控制,允許其劫持發送至私有 IP 位址的流量,或對發送至公用 IP 的流量啟動嗅探器功能以竊取憑證。此外,Cuttlefish 還可以充當代理和 VPN,透過受感染的路由器傳輸捕獲的數據,從而使威脅行為者能夠使用竊取的憑證存取目標資源。
總之,Cuttlefish 代表了邊緣網路設備被動竊聽惡意軟體的複雜演變,結合了路由操縱、連接劫持和被動嗅探功能。其竊取身分驗證資料的能力不僅允許存取雲端資源,而且還在目標實體的雲端生態系統中建立了立足點,對網路安全構成重大威脅。