Penemuan Malware Baru 'Cuttlefish' yang Menginfeksi Router untuk Mencuri Kredensial Pengguna

Malware baru bernama 'Cuttlefish' ditemukan menyerang router di perusahaan dan jaringan kantor kecil/rumah (SOHO) untuk memantau dan mencuri data otentikasi. Penelitian oleh Black Lotus Labs dari Lumen Technologies menemukan bahwa Cuttlefish menciptakan proxy atau terowongan VPN pada router yang terinfeksi untuk mengakses data secara diam-diam, menghindari deteksi keamanan. Malware ini juga bisa memanipulasi DNS dan HTTP dalam jaringan IP pribadi, mengganggu komunikasi internal dan memasukkan lebih banyak muatan. Meskipun memiliki kesamaan kode dengan HiatusRat, malware yang dikaitkan dengan Tiongkok, tidak ada bukti konkret yang menghubungkan keduanya. Cuttlefish telah aktif sejak Juli 2023, terutama menargetkan Turki, dengan dampak tambahan terhadap layanan telepon satelit dan pusat data.

Metode untuk infeksi awal router belum ditentukan, tetapi bisa jadi dengan mengeksploitasi kerentanan yang sudah diketahui atau kredensial yang dipaksakan.Setelah akses diperoleh ke router, skrip bash ("s.sh") disebarkan dan mulai mengumpulkan data berbasis host, termasuk rincian daftar direktori, proses yang sedang berjalan, dan koneksi yang aktif.Skrip ini mengunduh dan mengeksekusi muatan utama Cuttlefish (".timezone"), yang dimuat ke dalam memori untuk menghindari deteksi sementara file yang diunduh dihapus dari sistem file. architecture router yang diserang seperti ARM, i386, i386_i686, i386_x64, mips32, and mips64, dan hampir keseluruhan arsitektur router dapat diserang.

Setelah dieksekusi, Cuttlefish menggunakan filter paket untuk memantau semua koneksi melalui perangkat, dan ketika mendeteksi data tertentu, ia melakukan tindakan tertentu berdasarkan kumpulan aturan yang diperbarui secara teratur dari server command and control (C2) penyerang. Malware ini secara pasif sniffs packets yang mencari "credential markers" di dalam lalu lintas, seperti nama pengguna, kata sandi, dan token yang terutama terkait dengan layanan berbasis cloud publik seperti Alicloud, AWS, Digital Ocean, CloudFlare, dan BitBucket. Data yang cocok dengan parameter tersebut dicatat secara lokal, dan setelah mencapai ukuran tertentu (1048576 byte), data tersebut dieksfiltrasi ke C2 menggunakan VPN peer-to-peer(n2n) atau terowongan proxy(socks_proxy) yang dibuat di perangkat.

Untuk trafik yang ditujukan ke alamat IP pribadi, permintaan DNS dialihkan ke server DNS tertentu, dan permintaan HTTP dimanipulasi untuk mengalihkan trafik ke infrastruktur yang dikendalikan oleh aktor dengan menggunakan kode error HTTP 302.

Cara Pencegahan 

Cuttlefish merupakan ancaman serius bagi organisasi di seluruh dunia karena memungkinkan penyerang untuk mem-bypass langkah-langkah keamanan seperti segmentasi jaringan dan pemantauan titik akhir dan berdiam tanpa terdeteksi di lingkungan cloud untuk waktu yang lama.
disarankan agar admin jaringan perusahaan menghilangkan kredensial yang lemah, memantau login yang tidak biasa dari IP lokal, mengamankan lalu lintas dengan TLS/SSL, memeriksa perangkat untuk mencari iptables yang mencurigakan atau file abnormal lainnya, dan secara rutin melakukan boot ulang.

Ketika membuat koneksi ke aset yang berharga, disarankan untuk menggunakan sertifikat untuk mencegah pembajakan. Untuk pengguna router SOHO atau rumahan, disarankan untuk me-reboot perangkat secara teratur, update firmware yang terbaru, mengubah kata sandi default, memblokir remote access ke managemen pengaturan, dan mengganti perangkat jika sudah mencapai masa pakai (EoL) atau router tidak disupport update firmware maupun update software lainnya yang terdapat pada router.