‘Cuttlefish’ Zero-Click Malwareは、エンタープライズグレードおよびSOHOルーターを対象に、認証情報や他のデータを盗むマルウェアである。このマルウェアはパケットスニッフィングを利用してデータをキャプチャし、DNSおよびHTTPハイジャック攻撃を通じてプライベートIPアドレスへの接続を実行する。特に、パブリッククラウドベースのサービスにおける認証データの取得に重点を置いており、盗まれた認証情報を使用して侵害されたルーターを介してプロキシまたはVPNトンネルを作成し、対象のリソースにアクセスする。

‘Cuttlefish’はエッジネットワーキング機器を盗聴し、長期的な持続的なアクセスを意図している。マルウェアの初期感染ベクトルは特定されていないが、特定のホストベースのデータを収集し、C2サーバーに送信するためのbashスクリプトを展開する。企業やSOHOルーターを管理する組織は、弱い認証情報や不審なログイン試行に対する攻撃を監視し、適切なセキュリティ対策を講じる必要がある。

‘Cuttlefish’はトルコの通信事業者を主なターゲットとしており、HiatusRatとの関連性が指摘されている。このマルウェアはトルコを中心に活動しており、中国の脅威アクターとの関連性があると考えられているが、共有された被害者はまだ見つかっていない。

【ニュース解説】

最近発見された「Cuttlefish」と名付けられたマルウェアは、エンタープライズグレードおよびSOHO（Small Office/Home Office）ルーターを標的にしています。このマルウェアは、ネットワークのエッジ、つまり外部と内部の境界に位置する機器から認証情報やその他のデータを盗み出すことを目的としています。特に、パブリッククラウドベースのサービスに関連する認証データの取得に重点を置いており、盗まれた認証情報を利用して、侵害されたルーターを通じてプロキシやVPNトンネルを作成し、対象のリソースにアクセスします。

Cuttlefishは、パケットスニッフィングを利用してデータをキャプチャし、DNSおよびHTTPハイジャック攻撃を実行することで、プライベートIPアドレスへの接続を標的にします。これにより、内部ネットワーク上の通信や他のデバイスとのやり取りを傍受し、データを移動させたり、新たなエージェントを導入したりする能力を持ちます。

このマルウェアの特徴は、エッジネットワーキング機器を盗聴し、プライベートIPアドレス接続を標的にすることで、検出を回避し、持続的なアクセスを確保することにあります。これは、内部でホストされている資料にアクセスするために、セキュリティコントロールを回避する目的があると考えられます。

Cuttlefishは、特にトルコの通信事業者を標的にしており、その活動は少なくとも昨年7月から確認されています。このマルウェアは、HiatusRatとのコードの類似性や組み込みビルドパスを通じて、中国に基盤を持つ脅威アクターとの関連性が示唆されています。

防御策として、企業やSOHOルーターを管理する組織は、弱い認証情報や不審なログイン試行に対する攻撃を監視し、ネットワークトラフィックをTLS/SSLで暗号化することで、リモートからデータを取得または送信する際のスニッフィングを防ぐ必要があります。また、デバイスが一般的なデフォルトパスワードに依存しないようにし、管理インターフェースがインターネット経由でアクセスできないようにすることが重要です。

Cuttlefishの発見は、エッジデバイスやクラウド環境のセキュリティがいかに重要であるかを改めて浮き彫りにしています。このような脅威に対処するためには、組織はセキュリティ対策を常に更新し、適切な監視と防御策を講じる必要があります。また、このマルウェアの出現は、サイバーセキュリティの観点から見たクラウドサービスの利用における新たな課題を提示しており、今後のセキュリティ研究や対策の発展において重要な意味を持つでしょう。

from 'Cuttlefish' Zero-Click Malware Steals Private Cloud Data.