Cyclops Blink Malware von der Sandworm APT-Gruppe ersetzt VPNFilter, laut CISA
Inhaltsverzeichnis:
Am 23. Februar 2022 veröffentlichte die CISA einen Alarm, in dem es hieß, dass das UK National Cyber Security Centre (NCSC), die U.S. Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) die Verwendung eines neuen bösartigen Stammes namens Cyclops Blink entdeckt haben. Als Ersatz für den berüchtigten VPNFilter wurde die neue bösartige Probe ebenfalls von einer berüchtigten Sandworm-APT-Gruppe entwickelt, um Netzwerkeinrichtungen anzugreifen.
Cyclops Blink Malware-Erkennung
Um nach dem bösartigen Verhalten im Zusammenhang mit Cyclops Blink zu suchen, einschließlich der Dateinamen und des Pfades, können Sie eine spezielle Sigma-Regel von unserem produktiven Threat Bounty Entwickler herunterladen Onur Atali:
Russische Cyclops Blink Malware-Erkennung (über Dateievent)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.
Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 ausgerichtet und adressiert die Taktiken der Ausführung, Umgehung von Verteidigungsmaßnahmen, Privilegienerhöhung mit Command and Scripting Interpreter (T1059), Prozessinjektion (T1055) und Dateien/Informationen deobfuskieren/dekodieren (T1140) als primäre Techniken.
Cyclops Blink Übersicht
Cyclops Blink ist ein modulares bösartiges Framework, das entwickelt wurde, um gezielt Netzwerke aus der Ferne zu kompromittieren. Die neuartige Malware erschien 14 Monate nach der Zerschlagung des VPNFilter-Botnets, die als Ersatz für diese gefährliche Bedrohung durch Sandworm APT vermutet wird. Die NCSC, CISA und das FBI haben zuvor die Sandworm APT und ihre bösartigen digitalen Operationen mit der russischen GRU in Verbindung gebracht, einschließlich der zerstörerischen NotPetya-Kampagne im Jahr 2017 und der BlackEnergy-Angriffe gegen das ukrainische Stromnetz in den Jahren 2015 und 2016.
Ähnlich wie VPNFilter wird Cyclops Blink verwendet, um eine breite Anzahl von Zielen von Interesse für Russland zu infiltrieren. Obwohl derzeit hauptsächlich WatchGuard-Netzwerkgeräte angegriffen werden, glauben NCSC und CISA, dass Sandworm APT das neue Framework leicht rekonstruieren kann, um mehrere Arten von Infrastrukturen zu gefährden.
Cyclops Blink ist eine bösartige Linux-ELF-Ausführung, die für die 32-Bit-PowerPC-Architektur kompiliert wurde. Die Expertenanalyse von Cyclops Blink durch US-amerikanische Bundesbehörden und nationale Geheimdienste, einschließlich FBI, CISA, NSA und UK NCSC, hat diese Malware mit einem groß angelegten Botnet in Verbindung gebracht, das hauptsächlich from federal U.S. and national-level intelligence agencies including FBI, CISA, NSA, and UK NCSC has linked this malware with a large-scale botnet primarily affecting Small Office/Home Office (SOHO)-Router und Netzwerkgeräte betrifft. Cyclops Blink besitzt eine modulare Struktur mit grundlegender Funktionalität und der Fähigkeit, neue Module während des Betriebs hinzuzufügen, was den Angreifern ermöglicht, die Angriffsfähigkeiten zu erweitern. Die eingebauten zusätzlichen Module, die beim Start laufen, sind dafür verantwortlich, Dateien herunterzuladen und hochzuladen, Gerätedaten zu sammeln und die Malware selbst zu aktualisieren.
Die bösartige Probe wird typischerweise in der Phase nach der Ausnutzung während des angeblichen Firmware-Upgrades eingesetzt. Insbesondere nutzt Cyclops Blink legitime Firmware-Update-Kanäle, um Zugang zu den infizierten Netzwerken über Code-Injektion und repackte Firmware-Bilder zu erhalten. Die Bedrohung kann das Neustarten des Geräts überdauern, was ihre Abschwächung zu einer anspruchsvollen Aufgabe macht.
Die Untersuchung durch FBI, CISA, NSA und UK NCSC besagt, dass Cyclops Blink nur WatchGuard-Netzwerkgeräte betrifft. Angeblich haben die Malware-Entwickler den Firmware-Update-Mechanismus von WatchGuard Firebox rückentwickelt, um nach möglichen Schwachstellen zu suchen und diese auszunutzen. Derzeit schätzt WatchGuard etwa, dass ungefähr 1 % der aktiven Firewall-Geräte betroffen sind. that approximately 1% of active firewall appliances are affected.
Um proaktiv gegen die neuesten Angriffe zu verteidigen und die Bedrohungserkennung einfacher, schneller und effizienter mit den besten Praktiken der Branche und geteiltem Fachwissen zu gestalten, melden Sie sich kostenlos auf der Plattform SOC Prime’s Detection as Codean. Die Plattform ermöglicht es SOC-Profis auch, Erkennungsinhalte zu teilen , an erstklassigen Initiativen teilzunehmen und den Beitrag zu monetarisieren.
