Cuttlefish Malware saugt Zugangsdaten aus Router Traffic

Ein Forscherteam von Black Lotus Labs, einer Abteilung von Lumen Technologies, warnt vor einer neuen Malware namens “Cuttlefish”, die gezielt Netzwerkausrüstung in Unternehmen angreift, insbesondere SOHO-Router (Small Office/Home Office). Diese modular aufgebaute Malware hat hauptsächlich das Ziel, Authentifizierungsinformationen abzufangen, die über den Router laufen. Eine zusätzliche Funktion ermöglicht es Cuttlefish, sowohl DNS- als auch HTTP-Hijacking in privaten Netzwerken durchzuführen.

Cuttlefish kann auch mit anderen Geräten im lokalen Netzwerk (LAN) interagieren, Daten verschieben oder neue schädliche Agenten einführen. Die Malware nutzt dabei eine “Zero-Click”-Strategie, um Daten von Benutzern und Geräten hinter der Netzwerkgrenze zu erfassen. Besonders heimtückisch ist die Fähigkeit von Cuttlefish, HTTP- und DNS-Hijacking für Verbindungen zu privaten IP-Adressen durchzuführen, wodurch die Malware unbemerkt bleibt, bis sie durch eine vordefinierte Regel aktiviert wird.

Die Analyse deutet darauf hin, dass diese Malware seit mindestens dem 27. Juli 2023 aktiv ist, mit früheren Iterationen, die bereits vor dieser Zeit existierten. Die jüngste Kampagne lief von Oktober 2023 bis April 2024, wobei 99% der Infektionen in der Türkei auftraten, hauptsächlich über zwei Telekommunikationsanbieter.

Cuttlefish repräsentiert die neueste Anpassung in der Malware für Netzwerkausrüstung, indem es mehrere Funktionen kombiniert, darunter Routenmanipulation, Verbindungsumleitung und passive Sniffing-Fähigkeiten. Mit dem gestohlenen Schlüsselmaterial kann der Angreifer nicht nur auf Cloud-Ressourcen zugreifen, die mit dem Zielunternehmen verbunden sind, sondern auch einen Zugangspunkt in diesem Cloud-Ökosystem etablieren.

Related Posts

Sicherheitslücke ermöglicht Rechteausweitung auf Root-Niveau in Ant Media Server

Eine Sicherheitslücke im Open Source WebRTC Streaming Server Ant Media Server ermöglicht es unprivilegierten Benutzern, ihre Rechte bis zum Root-Nutzerkonto des Systems zu erhöhen. Diese Schwachstelle betrifft die Versionen 2.6.0 bis 2.8.2 des Servers und wurde mit der Veröffentlichung der Version 2.9.0 behoben.

Read More

Sicherheitslücke in PS4/PS5: Zugriff auf Kernel möglich

Eine neu entdeckte Sicherheitslücke in den Spielkonsolen PlayStation 4 und PlayStation 5 könnte es einem bösartigen PPPoE-Server ermöglichen, einen Denial-of-Service-Angriff durchzuführen oder sogar Code im Kernel-Kontext auszuführen. Die Schwachstelle, die auf eine fehlerhafte Implementierung der Speicherverwaltung zurückzuführen ist, kann zur Überschreibung und zum Überlesen von Heap-Buffern führen.

Read More

kritische Schwachstelle in Acronis Cyber Protect Cloud Agent

Am 29. April 2024 wurde eine schwerwiegende Sicherheitslücke im Acronis Cyber Protect Cloud Agent für Windows, einer KI basierten Cybersecurity Software, bekannt. Die Schwachstelle, die unter der Bezeichnung CVE-2024-34010 registriert wurde, ermöglicht eine lokale Rechteausweitung durch eine Schwachstelle im unzitierten Suchpfad.

Read More