Cuttlefish 惡意軟體一點也不可愛，它是一種非常危險的電腦威脅

Cuttlefish 惡意軟體儘管名字看似無害，但卻對小型辦公室和家庭辦公室 (SOHO) 路由器構成了重大威脅。其主要目標是秘密監視通過這些設備的網路流量，並從 HTTP GET 和 POST 請求收集身份驗證資料。根據 Lumen Technologies Black Lotus Labs 團隊的一份報告，Cuttlefish 作為模組化惡意軟體運行，主要專注於竊取透過路由器區域網路 (LAN) 傳輸的身份驗證資訊。此外，它還能夠執行 DNS 和 HTTP 劫持，以連接到內部網路內的專用 IP 空間。

有跡象表明，Cuttlefish 與另一種名為 HiatusRAT 的已知惡意軟體有相似之處，儘管目前尚未觀察到共享受害者的案例。 Cuttlefish 至少自 2023 年 7 月 27 日起就一直活躍，其最新活動從 2023 年 10 月到 2024 年 4 月運行，主要影響與兩家土耳其電信提供商相關的 600 個唯一 IP 位址。

Cuttlefish 用於破壞網路設備的初始存取向量仍不清楚。然而，一旦它站穩腳跟，它就會部署一個 bash 腳本來收集主機資料並將其滲透到攻擊者控制的網域。隨後，它下載並執行適合路由器架構的 Cuttlefish 有效負載。值得注意的是，Cuttlefish 專注於被動網路封包嗅探，以利用擴展的伯克利封包過濾器(eBPF)，以與基於公有雲的服務（例如Alicloud、Amazon Web Services (AWS)、Digital Ocean、CloudFlare和BitBucket）相關的目標身份驗證資料。

此惡意軟體的功能由從命令與控制 (C2) 伺服器檢索的規則集控制，允許其劫持發送至私有 IP 位址的流量，或對發送至公用 IP 的流量啟動嗅探器功能以竊取憑證。此外，Cuttlefish 還可以充當代理和 VPN，透過受感染的路由器傳輸捕獲的數據，從而使威脅行為者能夠使用竊取的憑證存取目標資源。

總之，Cuttlefish 代表了邊緣網路設備被動竊聽惡意軟體的複雜演變，結合了路由操縱、連接劫持和被動嗅探功能。其竊取身分驗證資料的能力不僅允許存取雲端資源，而且還在目標實體的雲端生態系統中建立了立足點，對網路安全構成重大威脅。