Tintenfisch-Malware

Eine neue Schadsoftware namens Cuttlefish konzentriert sich auf Router in kleinen Büros und Heimbüros (SOHO). Ihr Ziel besteht darin, den gesamten Datenverkehr, der über diese Geräte läuft, diskret zu überwachen und Authentifizierungsdaten aus HTTP-GET- und POST-Anfragen zu sammeln.

Diese spezielle Malware ist modular aufgebaut und zielt in erster Linie auf den Diebstahl von Authentifizierungsinformationen aus Webanfragen ab, die über den Router im lokalen Netzwerk (LAN) laufen. Darüber hinaus verfügt sie über die Fähigkeit, DNS- und HTTP-Hijacking für Verbindungen innerhalb des privaten IP-Bereichs durchzuführen, was normalerweise mit der internen Netzwerkkommunikation verbunden ist.

Es gibt Hinweise im Quellcode, die auf Ähnlichkeiten mit einem zuvor identifizierten Aktivitätscluster namens HiatusRAT schließen lassen, obwohl bisher keine Fälle gemeinsamer Viktimologie beobachtet wurden. Es scheint, dass diese beiden Operationen gleichzeitig aktiv sind.

Infektionsvektor für kompromittierende Geräte mit der Cuttlefish-Malware

Cuttlefish ist mindestens seit dem 27. Juli 2023 aktiv; seine jüngste Kampagne erstreckte sich von Oktober 2023 bis April 2024. In diesem Zeitraum zielte die Malware vor allem auf 600 einzigartige IP-Adressen ab, die mit zwei türkischen Telekommunikationsanbietern in Verbindung standen.

Die spezifische Methode, die für den ersten Zugriff verwendet wird, um Netzwerkgeräte zu kompromittieren, bleibt unklar. Sobald jedoch ein Angriffspunkt etabliert ist, wird ein Bash-Skript eingesetzt, um Hostdaten zu sammeln, darunter Inhalte, laufende Prozesse, aktive Verbindungen und Mounts. Diese Informationen werden dann an eine vom Bedrohungsakteur kontrollierte Domäne gesendet („kkthreas.com/upload“). Anschließend lädt es die Cuttlefish-Nutzlast von einem dedizierten Server herunter und führt sie aus, der auf der spezifischen Routerarchitektur basiert (z. B. Arm, mips32 und mips64, i386, i386_i686, i386_x64 usw.).

Die Cuttlefish-Malware kann die Anmeldeinformationen wichtiger Opfer kompromittieren

Ein herausragendes Merkmal dieser Malware ist ihre passive Sniffing-Funktion, die speziell auf Authentifizierungsdaten von öffentlichen Cloud-Diensten wie Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare und BitBucket abzielt und durch einen erweiterten Berkeley Packet Filter (eBPF) erreicht wird.

Die Malware arbeitet auf der Grundlage eines Regelsatzes, der sie anweist, entweder den an eine private IP-Adresse gerichteten Datenverkehr zu kapern oder eine Sniffer-Funktion für den an eine öffentliche IP gerichteten Datenverkehr zu aktivieren, wodurch unter bestimmten Bedingungen der Diebstahl von Anmeldeinformationen möglich wird. Die Kaperungsregeln werden von einem zu diesem Zweck eingerichteten Command-and-Control-Server (C2) abgerufen und aktualisiert. Die sichere Verbindung erfolgt über ein eingebettetes RSA-Zertifikat.

Darüber hinaus kann die Malware als Proxy oder VPN fungieren, sodass erfasste Daten über den kompromittierten Router übertragen werden können und Bedrohungsakteure die gesammelten Anmeldeinformationen verwenden können, um auf gezielte Ressourcen zuzugreifen.

Forscher beschreiben Cuttlefish als eine fortgeschrittene Form passiver Lausch-Malware für Edge-Networking-Geräte, die verschiedene Funktionen wie Routenmanipulation, Verbindungsentführung und passives Sniffing kombiniert. Mit dem missbrauchten Authentifizierungsmaterial erhalten Bedrohungsakteure nicht nur Zugriff auf die mit dem Ziel verbundenen Cloud-Ressourcen, sondern etablieren sich auch in diesem Cloud-Ökosystem.