El Malware Cyclops Blink Utilizado por el Grupo APT Sandworm Reemplaza a VPNFilter Según Reporte de CISA

[post-views]
febrero 28, 2022 · 3 min de lectura
El Malware Cyclops Blink Utilizado por el Grupo APT Sandworm Reemplaza a VPNFilter Según Reporte de CISA

El 23 de febrero de 2022, CISA lanzó una alerta declarando que el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), la Agencia de Seguridad Nacional (NSA) y el Buró Federal de Investigaciones (FBI) han detectado el uso de una nueva cepa maliciosa conocida como Cyclops Blink. Como reemplazo del infame VPNFilter, la nueva muestra nefasta también es desarrollada por un infame grupo APT Sandworm para atacar dispositivos de red.

Detección de Malware Cyclops Blink

Para verificar el comportamiento malicioso asociado con Cyclops Blink, incluidos los nombres de archivos y la ruta, puedes descargar una regla Sigma dedicada de nuestro prolífico desarrollador de Threat Bounty Onur Atali:

Detección de Malware Cyclops Blink Ruso (mediante evento de archivo)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando las tácticas de Ejecución, Evasión de Defensa, Escalada de Privilegios con Intérprete de Comandos y Scripts (T1059), Inyección de Procesos (T1055) y Desofuscación/Decodificación de Archivos o Información (T1140) como técnicas principales.

Resumen de Cyclops Blink

Cyclops Blink es un marco malicioso modular desarrollado para comprometer remotamente redes objetivo. El malware novedoso apareció 14 meses después de la interrupción del botnet VPNFilter, y se sospecha que reemplaza esta amenaza nefasta por el APT Sandworm. NCSC, CISA y el FBI previamente han vinculado al APT Sandworm y sus operaciones digitales maliciosas con el GRU ruso, incluyendo la destructiva campaña NotPetya en 2017 y los ataques BlackEnergy contra la red eléctrica ucraniana en 2015 y 2016.

Similar a VPNFilter, Cyclops Blink se utiliza para infiltrarse en un amplio número de objetivos de interés para Rusia. Aunque principalmente se atacan dispositivos de red de WatchGuard ahora mismo, NCSC y CISA creen que el APT Sandworm puede recompilar fácilmente el nuevo marco para poner en peligro múltiples tipos de infraestructuras.

Cyclops Blink es un ejecutable malicioso ELF de Linux, compilado para la arquitectura PowerPC de 32 bits. El experto análisis de las agencias de inteligencia federales de EE.UU. y de nivel nacional, incluidas FBI, CISA, NSA, y UK NCSC ha vinculado este malware con un botnet a gran escala que afecta principalmente a enrutadores de oficina pequeña/oficina en casa (SOHO) y dispositivos de red. Cyclops Blink posee una estructura modular con funcionalidad básica y la capacidad de añadir nuevos módulos al operar, lo que permite a los adversarios mejorar las capacidades ofensivas. Los módulos adicionales integrados que se ejecutan al inicio son responsables de descargar y subir archivos, recopilar datos del dispositivo y actualizar el malware mismo.

La muestra maliciosa se aprovecha típicamente en la fase posterior a la explotación durante la supuesta actualización de firmware. En particular, Cyclops Blink utiliza canales legítimos de actualización de firmware para poder obtener acceso a las redes infectadas mediante inyección de código y despliegue de imágenes de firmware recompuesto. La amenaza puede persistir al reinicio del dispositivo, lo que hace de su mitigación una tarea sofisticada.

La investigación del FBI, CISA, NSA y UK NCSC declara que Cyclops Blink impacta solo a los dispositivos de red de WatchGuard. Presumiblemente, los desarrolladores del malware hicieron ingeniería inversa al mecanismo de actualización de firmware de WatchGuard Firebox para verificar posibles fallas y explotarlas. Actualmente, WatchGuard estima que aproximadamente el 1% de los dispositivos de firewall activos están afectados.

Para defenderse proactivamente contra los ataques más recientes y hacer la detección de amenazas más fácil, rápida y eficiente con las mejores prácticas de la industria y la experiencia compartida, regístrate gratis en la plataforma Detection as Code de SOC Prime. La plataforma también permite a los profesionales de SOC compartir contenido de detección de su creación, participar en iniciativas de primer nivel, y monetizar el aporte.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias