墨魚惡意軟體

一種名為 Cuttlefish 的新惡意軟體專注於小型辦公室和家庭辦公室 (SOHO) 路由器，旨在謹慎監控通過這些裝置的所有流量，並從 HTTP GET 和 POST 請求收集身分驗證資料。

這種特殊的惡意軟體以模組化方式構建，主要目標是從透過區域網路 (LAN) 路由器的 Web 請求中竊取身份驗證資訊。此外，它還能夠對私有 IP 空間內的連線（通常與內部網路通訊相關）執行 DNS 和 HTTP 劫持。

原始程式碼中有跡象表明與先前識別的名為HiatusRAT的活動叢集有相似之處，儘管迄今尚未觀察到共享受害者的實例。看來這兩個操作是同時進行的。

Cuttlefish 惡意軟體危害裝置的感染載體

Cuttlefish 至少自2023 年7 月27 日起就一直活躍，最新的攻擊活動從2023 年10 月到2024 年4 月。 。

用於初始存取受感染網路設備的具體方法仍不清楚。然而，一旦建立了立足點，就會部署 bash 腳本來收集主機數據，包括內容、正在運行的進程、活動連接和掛載。然後，此資訊被傳送到威脅參與者控制的網域（「kkthreas.com/upload」）。隨後，它從基於特定路由器架構（例如，Arm、mips32 和 mips64、i386、i386_i686、i386_x64 等）的專用伺服器下載並執行 Cuttlefish 有效負載。

Cuttlefish 惡意軟體可能會損害重要受害者的憑證

該惡意軟體的一個突出特點是其被動嗅探功能，專門針對來自阿里雲、亞馬遜網路服務(AWS)、Digital Ocean、CloudFlare 和BitBucket 等公有雲服務的身份驗證數據，透過擴展伯克利數據包過濾器( eBPF) 實作）。

該惡意軟體基於規則集進行操作，該規則集指示其劫持綁定到私有 IP 位址的流量或啟動針對公用 IP 流量的嗅探器功能，從而在特定條件下竊取憑證。劫持規則是從為此目的建立的命令與控制 (C2) 伺服器檢索和更新，並使用嵌入式 RSA 憑證進行安全連線。

此外，該惡意軟體可以充當代理或 VPN，允許透過受感染的路由器傳輸捕獲的數據，並幫助威脅行為者使用收集的憑證存取目標資源。

研究人員將 Cuttlefish 描述為一種針對邊緣網路設備的被動竊聽惡意軟體的高級形式，結合了路由操縱、連接劫持和被動嗅探等各種功能。透過盜用身分驗證材料，威脅行為者不僅可以存取與目標相關的雲端資源，還可以在該雲端生態系統中建立立足點。