innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

警戒必須!「Cuttlefish」マルウェアがSOHOルーターを狙い、認証データを盗む新たな脅威に

警戒必須!「Cuttlefish」マルウェアがSOHOルーターを狙い、認証データを盗む新たな脅威に - innovaTopia - (イノベトピア)

Last Updated on 2024-07-03 05:22 by admin

新しいマルウェア「Cuttlefish」が小規模オフィスおよび自宅オフィス(SOHO)ルーターを標的にしており、デバイスを通じてすべてのトラフィックをこっそり監視し、HTTP GETおよびPOSTリクエストから認証データを収集することを目的としている。このマルウェアは、隣接するローカルエリアネットワーク(LAN)からルーターを通過するWebリクエストで見つかった認証資料を盗むことを主な目的として設計されたモジュラー型である。また、内部ネットワーク上の通信に関連するプライベートIPスペースへの接続に対して、DNSおよびHTTPのハイジャックを行う機能も持っている。

以前に知られていた活動クラスターであるHiatusRATとの間にソースコードの類似点があるが、共有された被害者は今のところ観察されていない。これら二つの操作は並行して実行されていると言われている。Cuttlefishは少なくとも2023年7月27日から活動しており、最新のキャンペーンは2023年10月から2024年4月まで実行され、主に2つのトルコの通信プロバイダーに関連する600のユニークなIPアドレスを感染させている。

ネットワーキング機器を侵害するために使用された正確な初期アクセスベクトルは不明である。しかし、成功した足掛かりの後、ホストデータを収集し、アクター制御ドメインに詳細を送信するbashスクリプトが展開される。その後、ルーターアーキテクチャに応じて専用サーバーからCuttlefishペイロードをダウンロードして実行する。特に注目すべきは、Alicloud、Amazon Web Services(AWS)、Digital Ocean、CloudFlare、BitBucketなどの公共クラウドベースのサービスに関連する認証データを単独で特定するために、拡張Berkeley Packet Filter(eBPF)を作成するネットワークパケットの受動的な嗅ぎ取りが主に設計されていることである。

この機能は、特定のパラメータが満たされた場合に、プライベートIPアドレスに向かうトラフィックをハイジャックするか、公共IPに向かうトラフィックのスニファー機能を開始するかを決定するルールセットに基づいて管理される。ハイジャックルールは、組み込まれたRSA証明書を使用してセキュアな接続を確立した後、この目的のために設定されたコマンドアンドコントロール(C2)サーバーから取得および更新される。また、マルウェアはプロキシおよびVPNとして機能し、侵入したルーターを介してキャプチャされたデータを送信することで、脅威アクターが盗まれた認証情報を使用して対象リソースにアクセスできるようにする。

【ニュース解説】

新しいマルウェア「Cuttlefish」が、小規模オフィスや自宅オフィス(SOHO)のルーターを標的にしています。このマルウェアは、ルーターを通じて送受信される全てのトラフィックを監視し、特にHTTP GETおよびPOSTリクエストから認証データを収集することを目的としています。Cuttlefishはモジュラー型の設計であり、Webリクエストに含まれる認証情報を盗み出すことが主な機能です。さらに、内部ネットワーク通信に関連するプライベートIPアドレスへのDNSおよびHTTPハイジャックも可能です。

このマルウェアは、2023年7月27日から活動を開始し、2023年10月から2024年4月にかけて、特にトルコの通信プロバイダーに関連する600のユニークなIPアドレスを感染させています。Cuttlefishがネットワーキング機器に侵入する初期アクセス方法は明らかにされていませんが、侵入に成功すると、ホストデータを収集し外部ドメインに送信するbashスクリプトが実行されます。その後、ルーターのアーキテクチャに応じてCuttlefishペイロードがダウンロードされ、実行されます。

特に注目すべきは、Cuttlefishが公共クラウドサービス(例:Alicloud、Amazon Web Services、Digital Ocean、CloudFlare、BitBucket)に関連する認証データを特定するために、ネットワークパケットを受動的に嗅ぎ取る機能を持っていることです。この機能は、特定の条件を満たすトラフィックに対して、プライベートIPアドレスへのトラフィックをハイジャックするか、公共IPアドレスへのトラフィックを監視するかを決定するルールセットに基づいています。

このマルウェアは、盗んだ認証情報を使用して、脅威アクターが対象のクラウドリソースにアクセスし、そのクラウドエコシステム内で足場を築くことを可能にします。Cuttlefishは、ルート操作、接続のハイジャック、受動的嗅ぎ取り能力を組み合わせることで、エッジネットワーキング機器向けの受動的盗聴マルウェアの最新進化形と言えます。

このマルウェアの出現は、SOHO環境におけるセキュリティの重要性を改めて浮き彫りにします。特に、ルーターなどのネットワーク機器が最新のセキュリティパッチで更新されていない場合、攻撃者による標的となりやすいです。また、クラウドサービスの認証情報が盗まれることは、企業や個人のデータ漏洩に直結するため、この種の攻撃は非常に深刻なセキュリティリスクをもたらします。

Cuttlefishのようなマルウェアに対抗するためには、ルーターのファームウェアを常に最新の状態に保ち、不要なサービスを無効にすること、強力なパスワードを使用すること、そしてネットワークトラフィックを定期的に監視することが重要です。また、クラウドサービスの認証情報の管理には、二要素認証のような追加のセキュリティ層を導入することが推奨されます。

from New Cuttlefish Malware Hijacks Router Connections, Sniffs for Cloud Credentials.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 警戒必須!「Cuttlefish」マルウェアがSOHOルーターを狙い、認証データを盗む新たな脅威に

Latest News