イカマルウェア

Cuttlefish と呼ばれる新しいマルウェアは、小規模オフィスおよびホーム オフィス (SOHO) ルーターに焦点を当てており、これらのデバイスを通過するすべてのトラフィックを慎重に監視し、HTTP GET および POST 要求から認証データを収集することを目的としています。

このマルウェアはモジュール形式で構築されており、主にローカル エリア ネットワーク (LAN) 上のルーターを通過する Web リクエストから認証情報を盗むことを目的としています。さらに、通常は内部ネットワーク通信に関連するプライベート IP 空間内の接続に対して DNS および HTTP ハイジャックを実行する機能も備えています。

ソースコードからは、以前に特定されたHiatusRATとして知られる活動クラスターとの類似点が示唆されていますが、これまでのところ共通の被害者例は確認されていません。これら 2 つの活動は同時に行われているようです。

Cuttlefish マルウェアによるデバイス侵害の感染経路

Cuttlefish は少なくとも 2023 年 7 月 27 日から活動しており、最新のキャンペーンは 2023 年 10 月から 2024 年 4 月まで続いています。この期間中、主に 2 つのトルコの通信プロバイダーにリンクされた 600 個の固有 IP アドレスが標的となりました。

ネットワーク機器を侵害するための初期アクセスに使用された具体的な方法は不明です。しかし、足場が確立されると、bash スクリプトが展開され、/etc.、コンテンツ、実行中のプロセス、アクティブな接続、マウントなどのホスト データを収集します。その後、この情報は脅威アクターが管理するドメイン (「kkthreas.com/upload」) に送信されます。その後、特定のルーター アーキテクチャ (Arm、mips32、mips64、i386、i386_i686、i386_x64 など) に基づいて専用サーバーから Cuttlefish ペイロードをダウンロードして実行します。

Cuttlefish マルウェアは被害者の重要な認証情報を侵害する可能性があります

このマルウェアの際立った特徴は、拡張 Berkeley Packet Filter (eBPF) を通じて実現される、Alicloud、Amazon Web Services (AWS)、Digital Ocean、CloudFlare、BitBucket などのパブリック クラウド サービスからの認証データをターゲットとするように特別に設計されたパッシブ スニッフィング機能です。

このマルウェアは、プライベート IP アドレス宛てのトラフィックをハイジャックするか、パブリック IP 宛てのトラフィックのスニファー機能を起動して、特定の条件下で認証情報を盗むように指示するルールセットに基づいて動作します。ハイジャック ルールは、この目的のために構築されたコマンド アンド コントロール (C2) サーバーから取得および更新され、埋め込まれた RSA 証明書を使用した安全な接続が確立されます。

さらに、マルウェアはプロキシまたは VPN として機能するため、キャプチャされたデータが侵害されたルーターを介して送信され、脅威アクターが収集した資格情報を使用して標的のリソースにアクセスできるようになります。

研究者は Cuttlefish を、ルート操作、接続ハイジャック、パッシブ スニッフィングなどのさまざまな機能を組み合わせた、エッジ ネットワーク機器を盗聴する高度なマルウェアであると説明しています。不正に入手した認証情報を使用して、脅威アクターはターゲットに関連付けられたクラウド リソースにアクセスできるだけでなく、そのクラウド エコシステム内に足場を確立します。