SOHO向けネットワーク機器を標的とするマルウェア「Cuttlefish」に注意

画像提供：マイナビニュース

Lumen Technologiesはこのほど、「Eight Arms to Hold You: The Cuttlefish Malware - Lumen」において、小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)向けネットワーク機器を標的とするマルウェア「Cuttlefish」の詳細な分析結果を伝えた。Cuttlefishの存在は2023年7月から確認されており、2023年10月から2024年4月まで実施された最新のサイバー攻撃のｎキャンペーンにおいても確認されたとしている。

○マルウェア「Cuttlefish」の概要

Lumen Technologiesによると、このマルウェアの感染経路は確認できていないという。しかしながら、一連の攻撃においてホストデータを収集してコマンド＆コントロール(C2: Command and Control)サーバに送信するbashスクリプトが展開されており、このbashスクリプトからマルウェア「Cuttlefish」をダウンロードおよび実行することを確認したとのことだ。

Cuttlefishは、デバイスを通過するすべてのトラフィックを監視する機能を持ち、特定のアクティビティを検出した場合に活動を開始するとされる。この活動条件はC2サーバから送信される構成ファイルで指定される。Lumen Technologiesが確認した構成ファイルでは、プライベートIPアドレス宛のトラフィックをハイジャックし、特定の条件を満たしたパプリックIPアドレス宛てのトラフィックの認証情報を窃取するという。

また、このマルウェアにはオープンソースの仮想プライベートネットワーク(VPN: Virtual Private Network)ソフトウェア「GitHub - ntop/n2n: Peer-to-peer VPN」を実装するモジュールが存在することが確認されている。Lumen Technologiesはこのモジュールを使用することで、ネットワークセキュリティを回避する可能性があると指摘している。
○マルウェアが及ぼす影響と対策

Lumen Technologiesによると、被害者の約99%はトルコおよびトルコのインフラに依存する組織だという。米国のデータセンターに関連付けられたIPアドレスも被害に遭ったとみられているが、データセンター自体が侵害されたのか、データセンターを利用しているユーザー環境が侵害されたのかはわかっていない。