沉默殺手 Cuttlefish 隱藏在網路設備端竊聽封包 專偷雲端服務憑證

安全廠商發現一隻前所未見的惡意程式鎖定企業及 SOHO 路由器，從網路邊緣竊聽雲端憑證及其他重要資料，並能對連向私有 IP 的連線發動 DNS 和 HTTP 劫持攻擊。

這隻竊聽封包的惡意程式是由 Lumen Technologies 的 Black Lotus Labs 團隊發現，命名為 Cuttlefish。研究人員指出，Cuttlefish 是為了從本地區域網路 (LAN) 路由器流經的網頁呼叫流量竊取驗證資料而設計，而且它具有劫持連向私有 IP 位址的 DNS 和 HTTP 連線，這類連線一般是企業內部網路的流量。

Cuttlefish 最早出現於 2023 年 7 月，持續活動迄今，上一次被發現活動是在 2023 年 7 月。這波攻擊是發生在今年 4 月，研究團隊在土耳其數家電信業者，以及數個全球衛星電話服務供應商，以及一家美國資料中心設備上偵測到 Cuttlefish。

這隻惡意程式和平台使用「零點選 (Zero-click)」攻擊手法，可從網路邊緣捕捉使用者和裝置資料，網路設備被其滲透後，任何流經的資料都可能曝光。Cuttlefish 的手法是靜靜埋伏在網路設備上，被動聽取封包，它只會被預先定義的規則集 (ruleset) 觸發。

Cuttlefish 使用的封包竊聽器特別鎖定公共雲端服務的驗證資料。其方法是從流量中搜尋特定字串，如「username」、「password」或「access_token」，或特定目標如「aws_secret_key」和「cloudflare_auth_key」等。此外還有 Alicloud、Digital Ocean、Cloudflare、BitBucket 等。

攻擊者從被駭入的路由器上建立代理伺服器或 VPN，再以竊得的驗證資料存取鎖定的雲端資源，藉由從合法路由器發動存取，可避免異常登入的警報及分析。

Black Lotus Labs 研究人員認為，Cuttlefish 代表了網路設備惡意程式最新進展，因為它結合了多種能力，包括執行路由操弄、劫持連線及使用被動式竊聽。利用竊得的金鑰資料，攻擊者不但存取雲端資源，還可取得據點，伺機感染雲端環境。

分析顯示，Cuttlefish 和之前鎖定美國軍方網路和歐洲企業的中國駭客組織使用的 HiatusRat 有相當重疊性，不過受害者卻不同，研究人員相信可能是同時發動攻擊的關係。

Black Lotus Labs 建議企業網路安全人員要檢查弱密碼或可疑登入活動，即使是來自本地 IP 位址。此外也要檢查 SOHO 路由器是否有異常檔案如在/tmp 目錄的二進位程式，或 iptables 莫名其妙的項目，或重要資產 (如雲端) 有遠端連結的活動。

來源：SecurityWeek