このマルウェアは、企業、小規模オフィス、ホーム オフィスのWLAN ルーターで発見されました。犯罪者は、そこを通過する情報を監視し、その過程で認証情報を盗むために使用されます。
WiFiルーター:これはCuttlefishについて知られています
Black Lotus Labs (Lumen Technologies) の専門家はこのマルウェアを調査し、Cuttlefish が侵害された Wi-Fi ルーター上にプロキシまたは VPN トンネルを作成して、異常なログインを検出するセキュリティ対策を回避して慎重にデータを抽出していると報告しています。このマルウェアは、プライベート IP 範囲内で DNS および HTTP ハイジャックを実行し、内部通信を妨害し、追加のユーザー データを挿入する可能性もあります。
「私たちの分析によると、このマルウェアは少なくとも 2023 年 7 月 27 日から活動していることが示唆されています。 […] この最新のキャンペーンは、2023 年 10 月から 2024 年 4 月まで実施されました。感染の 99% がトルコで発生し、主に 2 つの通信プロバイダーから発生したため、感染パターンは独特でした。 […] トルコ人以外の少数の被害者には、世界的な衛星電話プロバイダーに接続されている可能性のある顧客の IP アドレスや、米国のデータセンターが含まれていた」と現在の攻撃目標が説明されました。
これがマルウェアの仕組みです
WiFi ルーターが Cuttlefish に感染すると、さまざまなプロセスがトリガーされます。ただし、デバイスが最初にどのように感染するかは現時点では不明です。既知の脆弱性が悪用されているか、データへのアクセスが強制されている疑いがある。
ワイヤレス ルーターにアクセスできる場合、bash スクリプト (「s.sh」) が実行され、ディレクトリのリスト、実行中のプロセス、アクティブな接続に関する詳細を含むホストベースのデータの収集が開始されます。次に、スクリプトはプライマリ Cuttlefish ペイロード、つまりデバイスに実際の損傷を与えるソフトウェアの部分をダウンロードして実行します。
これは、ダウンロードされたファイルがファイル システムから削除される間の検出を避けるためにメモリにロードされます。 Black Lotus Labs がさらに報告しているように、Cuttlefish はすべての主要なルーター アーキテクチャ向けに設計されたさまざまなビルドで利用可能です。
アクティブなデータ監視
Cuttlefish が実行されると、フィルターを介して WiFi ルーター経由のすべての接続を監視できるようになります。マルウェアは特定のデータを検出すると、犯罪者のサーバーによって定期的に更新されるルールに基づいてアクションを実行します。
このマルウェアは、特に Alicloud、AWS、Digital Ocean、CloudFlare、BitBucket などのパブリック クラウド サービスに接続している場合に、トラフィック内のユーザー名、パスワード、トークンなどの認証情報を探します。 「これらのサービスの多くは、ネットワーク上に存在するデータを保存するために使用されているため、これに注目しました」と Black Lotus Labs のレポートでは説明されています。
「転送中の資格情報を取得すると、攻撃者が従来のネットワーク境界と同じ種類のログ記録や制御を持たないクラウド リソースからデータをコピーできる可能性があります。」
影響を受ける人はこれを行うことをお勧めします
現時点ではドイツでこの問題に直面するリスクはないようですが、WLAN ルーターの感染を防ぐために実行できるさまざまな予防策があります。たとえば、専門家はデバイスを定期的に再起動し、セキュリティ更新プログラムとパッチをインストールすることを推奨しています。
「定期的にデバイスの電源を切り、保存されているマルウェア パターンを削除する」ことも重要です。また、デバイスが寿命に達し、サポートが終了したら、デバイスを交換することをお勧めします」と Black Lotus Labs は続けました。
出典: Black Lotus Labs