Cuttlefish 恶意软件远非可爱，而是一种非常危险的计算机威胁

Cuttlefish 恶意软件虽然名字看似无害，但对小型办公室和家庭办公室 (SOHO) 路由器构成了重大威胁。其主要目标是秘密监控通过这些设备的网络流量，并从 HTTP GET 和 POST 请求中收集身份验证数据。根据 Lumen Technologies 的 Black Lotus Labs 团队的报告，Cuttlefish 是一种模块化恶意软件，主要侧重于窃取通过路由器局域网 (LAN) 传输的身份验证信息。此外，它还能够执行 DNS 和 HTTP 劫持，以连接内部网络中的私有 IP 空间。

有迹象表明，Cuttlefish 与另一种已知恶意软件 HiatusRAT 有相似之处，尽管目前尚未观察到共同受害者的情况。Cuttlefish 自 2023 年 7 月 27 日起活跃，其最新活动从 2023 年 10 月持续到 2024 年 4 月，主要影响了与两家土耳其电信提供商相关的 600 个唯一 IP 地址。

Cuttlefish 用来入侵网络设备的初始访问媒介尚不清楚。然而，一旦它站稳脚跟，它就会部署一个 bash 脚本来收集主机数据并将其泄露到参与者控制的域。随后，它会下载并执行针对路由器架构定制的 Cuttlefish 有效负载。值得注意的是，Cuttlefish 专注于被动网络数据包嗅探，利用扩展的伯克利数据包过滤器 (eBPF) 来瞄准与基于公共云的服务（如阿里云、亚马逊网络服务 (AWS)、Digital Ocean、CloudFlare 和 BitBucket）相关的身份验证数据。

该恶意软件的功能由从命令和控制 (C2) 服务器检索到的规则集控制，允许它劫持发往私有 IP 地址的流量或对发往公共 IP 的流量启动嗅探器功能以窃取凭据。此外，Cuttlefish 可以充当代理和 VPN，通过受感染的路由器传输捕获的数据，使威胁行为者能够使用被盗凭据访问目标资源。

总而言之，Cuttlefish 代表了边缘网络设备被动窃听恶意软件的复杂演变，结合了路由操纵、连接劫持和被动嗅探功能。它窃取身份验证数据的能力不仅可以授予对云资源的访问权限，还可以在目标实体的云生态系统中建立立足点，对网络安全构成重大威胁。