נוזקה חדשה בשם 'Cuttlefish' זוהתה ככזו החודרת לנתבים של ארגונים גדולים ושל משרדים קטנים במטרה לנטר מידע העובר דרכם וכדי לגנוב אישורי גישה (שמות משתמשים וסיסמאות). Black Lotus Labs של Lumen Technologies בחנה את הנוזקה החדשה ומדווחת כי Cuttlefish יוצרת פרוקסי או מנהרת VPN בנתב שנפרץ כדי לגנוב נתונים בדיסקרטיות, תוך עקיפת אמצעי אבטחה המזהים כניסות חריגות. נוזקה זו גם יכולה לבצע חטיפת DNS ו- HTTP בתוך חללי IP פרטיים, להפריע לתקשורת הפנימית ולהחדיר נוזקות נוספות.
למרות של- Cuttlefish יש קוד מסוים החופף ל- HiatusRat שנצפה בעבר במתקפות סייבר של האקרים סיניים, לא נמצאו קשרים קונקרטיים בין השניים. Black Lotus Labs טוענת שהנוזקה פעילה לפחות מיולי 2023. היא פועלת כעת במתקפות סייבר בטורקיה, בנוסף לפעילות במקומות אחרים המשפיעים על שירותי טלפון, לוויין ומרכזי נתונים.
השיטה להדבקה הראשונית של הנתבים טרם נקבעה, אך היא עשויה להיות כרוכה בניצול נקודות תורפה ידועות או מתקפות brute-forcing. לאחר שהושגה גישה לנתב, נפרס סקריפט bash ("s.sh") והוא מתחיל לאסוף נתונים כולל פרטים על רישום ספריות, תהליכים פעילים וחיבורים פעילים. הסקריפט מוריד ומבצע את המטען הראשי של Cuttlefish, אשר נטען לזיכרון כדי להתחמק מזיהוי בזמן שהקובץ שהורד נמחק ממערכת הקבצים. לאחר הביצוע משתמשת Cuttlefish במסנן מנות כדי לנטר את כל החיבורים דרך המכשיר וכאשר היא מזהה נתונים ספציפיים, היא מבצעת פעולה מסוימת המבוססת על ערכות כללים המתעדכנות באופן קבוע משרת הפקודה והבקרה (C2) של פושעי הסייבר. הנוזקה מחפשת באופן פסיבי סמני אישורים בתוך התעבורה כגון שמות משתמש, סיסמאות ואסימונים הקשורים לשירותים מבוססי ענן ציבוריים כמו Alicloud, AWS, Digital Ocean, CloudFlare ו- BitBucket.
"זה משך את תשומת ליבנו מכיוון שרבים מהשירותים הללו ישמשו לאחסון נתונים שנמצאו ברשת", מסביר דו"ח Black Lotus Labs. "לכידת אישורים יכולה לאפשר לפושעי סייבר להעתיק נתונים ממשאבי ענן שאין להם אותו סוג של רישום או בקרות כמו היקפי רשת מסורתיים". נתונים התואמים לפרמטרים אלו נרשמים באופן מקומי וברגע שהם מגיעים לגודל מסוים (1048576 בתים), הם עוברים ל- C2 באמצעות VPN עמית לעמית (n2n) או מנהרת פרוקסי (socks_proxy) שנוצרה במכשיר. עבור תעבורה המיועדת לכתובות IP פרטיות, מופנות בקשות DNS מחדש לשרת DNS שצוין ובקשות HTTP עוברות מניפולציה כדי להפנות תעבורה לתשתית הנשלטת על ידי פושעי הסייבר באמצעות קודי שגיאה של HTTP 302. "אנו חושדים שהיכולת הזו מאפשרת ל- Cuttlefish לחטוף תעבורה פנימית (הידועה גם בשם 'מזרח-מערב') דרך הנתב, או תעבורה מאתר לאתר שבו נוצר חיבור VPN בין נתבים", מסבירים החוקרים ומציינים כי הפונקציה הנוספת פותחת דלת למשאבים מאובטחים שאינם נגישים דרך האינטרנט הציבורי.
נוזקת Cuttlefish מהווה איום כבד על ארגונים ברחבי העולם, מכיוון שהיא מאפשרת לפושעי סייבר לעקוף אמצעי אבטחה כמו פילוח רשת וניטור נקודות קצה ולשהות בסביבות ענן לתקופות ממושכות ללא זיהוי. Black Lotus Labs מציעה שמנהלי רשתות ימחקו אישורי גישה חלשים (בעיקר סיסמאות חלשות), ינטרו כניסות חריגות מכתובות IP, יאבטחו תעבורה עם TLS/SSL וכן, יבדקו מכשירים לאיתור נוזקות או קבצים חריגים אחרים. בעת יצירת חיבורים מרוחקים לנכסים בעלי ערך גבוה, מומלץ להשתמש בהצמדת אישורים כדי למנוע את חטיפתם. למשתמשי נתב SOHO, מומלץ לאתחל את המכשירים באופן קבוע, להחיל את עדכוני הקושחה הזמינים העדכניים ביותר, לשנות סיסמאות ברירת מחדל, לחסום גישה מרחוק לממשק הניהול ולהחליף אותם כשהם מגיעים לסוף החיים (EoL).
