Cuttlefish 恶意软件

一种名为 Cuttlefish 的新恶意软件专注于小型办公室和家庭办公室 (SOHO) 路由器，旨在秘密监视通过这些设备的所有流量并从 HTTP GET 和 POST 请求中收集身份验证数据。

这种恶意软件采用模块化方式构建，主要目标是窃取通过局域网 (LAN) 路由器的 Web 请求的身份验证信息。此外，它还能够对私有 IP 空间内的连接执行 DNS 和 HTTP 劫持，通常与内部网络通信相关。

源代码显示，该活动与之前发现的HiatusRAT活动群有相似之处，但目前尚未发现任何共同受害者的实例。看来这两个行动是同时进行的。

利用 Cuttlefish 恶意软件感染设备的感染媒介

Cuttlefish 至少自 2023 年 7 月 27 日起就开始活跃，其最新一次活动从 2023 年 10 月持续到 2024 年 4 月。在此期间，它主要针对与两家土耳其电信提供商相关的 600 个唯一 IP 地址。

目前尚不清楚最初用于入侵网络设备的具体方法。但是，一旦建立立足点，就会部署 bash 脚本来收集主机数据，包括/等等、内容、正在运行的进程、活动连接和挂载。然后，这些信息被发送到威胁行为者控制的域（“kkthreas.com/upload”）。随后，它会从基于特定路由器架构（例如 Arm、mips32 和 mips64、i386、i386_i686、i386_x64 等）的专用服务器下载并执行 Cuttlefish 负载。

Cuttlefish 恶意软件可能会损害关键受害者的凭证

该恶意软件的一个突出特点是其被动嗅探功能，专门用于通过扩展的伯克利数据包过滤器 (eBPF) 实现来自阿里云、亚马逊网络服务 (AWS)、Digital Ocean、CloudFlare 和 BitBucket 等公共云服务的身份验证数据。

该恶意软件根据一套规则运行，该规则指示它要么劫持发往私有 IP 地址的流量，要么激活发往公共 IP 的流量嗅探器功能，从而在特定条件下窃取凭据。劫持规则从为此目的建立的命令和控制 (C2) 服务器检索和更新，并使用嵌入式 RSA 证书建立安全连接。

此外，该恶意软件可以充当代理或 VPN，允许捕获的数据通过受感染的路由器传输，并帮助威胁行为者使用收集到的凭据访问目标资源。

研究人员将 Cuttlefish 描述为针对边缘网络设备的被动窃听恶意软件的高级形式，它结合了路由操纵、连接劫持和被动嗅探等多种功能。利用盗用的身份验证材料，威胁行为者不仅可以访问与目标相关的云资源，还可以在该云生态系统中建立立足点。