Lumen Technologiesはこのほど、「Eight Arms to Hold You: The Cuttlefish Malware - Lumen」において、小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)向けネットワーク機器を標的とするマルウェア「Cuttlefish」の詳細な分析結果を伝えた。Cuttlefishの存在は2023年7月から確認されており、2023年10月から2024年4月まで実施された最新のサイバー攻撃のnキャンペーンにおいても確認されたとしている。

  • Eight Arms to Hold You: The Cuttlefish Malware - Lumen

    Eight Arms to Hold You: The Cuttlefish Malware - Lumen

マルウェア「Cuttlefish」の概要

Lumen Technologiesによると、このマルウェアの感染経路は確認できていないという。しかしながら、一連の攻撃においてホストデータを収集してコマンド&コントロール(C2: Command and Control)サーバに送信するbashスクリプトが展開されており、このbashスクリプトからマルウェア「Cuttlefish」をダウンロードおよび実行することを確認したとのことだ。

Cuttlefishは、デバイスを通過するすべてのトラフィックを監視する機能を持ち、特定のアクティビティを検出した場合に活動を開始するとされる。この活動条件はC2サーバから送信される構成ファイルで指定される。Lumen Technologiesが確認した構成ファイルでは、プライベートIPアドレス宛のトラフィックをハイジャックし、特定の条件を満たしたパプリックIPアドレス宛てのトラフィックの認証情報を窃取するという。

  • ハイジャックと認証情報窃取の動作概念図 - 引用:Lumen

    ハイジャックと認証情報窃取の動作概念図 引用:Lumen

また、このマルウェアにはオープンソースの仮想プライベートネットワーク(VPN: Virtual Private Network)ソフトウェア「GitHub - ntop/n2n: Peer-to-peer VPN」を実装するモジュールが存在することが確認されている。Lumen Technologiesはこのモジュールを使用することで、ネットワークセキュリティを回避する可能性があると指摘している。

マルウェアが及ぼす影響と対策

Lumen Technologiesによると、被害者の約99%はトルコおよびトルコのインフラに依存する組織だという。米国のデータセンターに関連付けられたIPアドレスも被害に遭ったとみられているが、データセンター自体が侵害されたのか、データセンターを利用しているユーザー環境が侵害されたのかはわかっていない。

Lumen Technologiesはこの攻撃を回避するため、次のような対策の実施を推奨している。

  • 位置情報(geofencing)や自律システム番号(ASN: Autonomous System number)によるブロックをバイパスする家庭向けIPアドレスを使用した接続においても、脆弱な認証情報や不審なログイン試行を検出する
  • TLS(Transport Layer Security)を使用してネットワークトラフィックを暗号化し、トラフィックの盗聴による認証情報の窃取を防止する
  • 一時ディレクトリ(/tmp)にバイナリファイルや不正なiptablesエントリーなど、異常なファイルがないかどうかを検査する
  • メモリーに展開されるマルウェアを削除するために、定期的にネットワークデバイスの電源を入れ直す
  • クラウドなどに保管された価値のある機密情報へのリモート接続に証明書のピン留めを実装する
  • ネットワークデバイスのソフトウェアを最新の状態に維持する
  • ネットワークデバイスのデフォルトパスワードを使用していないかどうかを確認し、使用している場合は一意で強力なパスワードに変更する
  • インターネットからネットワークデバイスの管理インタフェースにアクセスできないことを確認する
  • デバイスがサポート終了(EOL: End-of-Life)となった場合は速やかに新しい機器へ交換する

また、Lumen Technologiesは今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/Cuttlefish_IOCs.txt at main · blacklotuslabs/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。