据bleepingcomputer网5月1日报道，Lumen Technologies的黑莲花实验室发布报告，检查到一种名为“Cuttlefish”的新恶意软件，它感染企业级和小型办公室/家庭办公室（SOHO）路由器，以监控通过路由器的数据并窃取身份验证信息。
报告还称，Cuttlefish在受损的路由器上创建了一个代理或VPN隧道，以谨慎地过滤数据，同时绕过检测异常登录的安全措施。
该恶意软件还可以在私有IP空间内执行DNS和HTTP劫持，干扰内部通信，并可能引入更多有效载荷。
路由器初始感染的方法尚未确定，但可能涉及利用已知漏洞或暴力凭据。
一旦获得对路由器的访问权限，就会部署bash脚本（“s.sh”），并开始收集基于主机的数据，包括目录列表、运行进程和活动连接的详细信息。
该脚本下载并执行主要的Cuttlefish负载（“.timezone”），该负载加载到内存中，以在从文件系统中擦除下载的文件时逃避检测。
执行后，Cuttlefish使用数据包过滤器来监控通过设备的所有连接，当它检测到特定数据时，它会根据攻击者的命令和控制（C2）服务器定期更新的规则集执行特定操作。
该恶意软件被动地嗅探在流量中搜索“凭证标记”的数据包，如用户名、密码和令牌，尤其是与Alicloud、AWS、Digital Ocean、CloudFlare和BitBucket等基于云的公共服务相关的数据包。
（编译：andy）