Ein Forscherteam von Black Lotus Labs, einer Abteilung von Lumen Technologies, warnt vor einer neuen Malware namens „Cuttlefish“, die gezielt Netzwerkausrüstung in Unternehmen angreift, insbesondere SOHO-Router (Small Office/Home Office). Diese modular aufgebaute Malware hat hauptsächlich das Ziel, Authentifizierungsinformationen abzufangen, die über den Router laufen. Eine zusätzliche Funktion ermöglicht es Cuttlefish, sowohl DNS- als auch HTTP-Hijacking in privaten Netzwerken durchzuführen.
Cuttlefish kann auch mit anderen Geräten im lokalen Netzwerk (LAN) interagieren, Daten verschieben oder neue schädliche Agenten einführen. Die Malware nutzt dabei eine „Zero-Click“-Strategie, um Daten von Benutzern und Geräten hinter der Netzwerkgrenze zu erfassen. Besonders heimtückisch ist die Fähigkeit von Cuttlefish, HTTP- und DNS-Hijacking für Verbindungen zu privaten IP-Adressen durchzuführen, wodurch die Malware unbemerkt bleibt, bis sie durch eine vordefinierte Regel aktiviert wird.
Die Analyse deutet darauf hin, dass diese Malware seit mindestens dem 27. Juli 2023 aktiv ist, mit früheren Iterationen, die bereits vor dieser Zeit existierten. Die jüngste Kampagne lief von Oktober 2023 bis April 2024, wobei 99% der Infektionen in der Türkei auftraten, hauptsächlich über zwei Telekommunikationsanbieter.
Cuttlefish repräsentiert die neueste Anpassung in der Malware für Netzwerkausrüstung, indem es mehrere Funktionen kombiniert, darunter Routenmanipulation, Verbindungsumleitung und passive Sniffing-Fähigkeiten. Mit dem gestohlenen Schlüsselmaterial kann der Angreifer nicht nur auf Cloud-Ressourcen zugreifen, die mit dem Zielunternehmen verbunden sind, sondern auch einen Zugangspunkt in diesem Cloud-Ökosystem etablieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: