Le logiciel malveillant Cyclops Blink utilisé par le groupe APT Sandworm remplace VPNFilter selon le rapport de la CISA
Table des matières :
Le 23 février 2022, la CISA a lancé une alerte indiquant que le National Cyber Security Centre (NCSC) du Royaume-Uni, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI) ont détecté l’utilisation d’une nouvelle souche malveillante connue sous le nom de Cyclops Blink. En remplacement du tristement célèbre VPNFilter, le nouvel échantillon néfaste est également développé par un groupe APT connu sous le nom de Sandworm pour attaquer les appareils réseau.
Détection du Malware Cyclops Blink
Pour vérifier le comportement malveillant associé à Cyclops Blink, y compris les noms de fichiers et le chemin, vous pouvez télécharger une règle Sigma dédiée par notre prolifique développeur Threat Bounty Onur Atali:
Détection du Malware Cyclops Blink russe (via événement de fichier)
Cette détection a des traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, traitant des tactiques d’Exécution, d’Évasion de Défense, d’Escalade de Privilèges avec Command and Scripting Interpreter (T1059), Process Injection (T1055) et Deobfuscate/Decode Files or Information (T1140) comme techniques principales.
Présentation de Cyclops Blink
Cyclops Blink est un cadre malveillant modulaire développé pour compromettre à distance des réseaux ciblés. Le nouveau malware est apparu 14 mois après la perturbation du botnet VPNFilter, suspecté d’être un remplacement pour cette menace néfaste par Sandworm APT. Le NCSC, la CISA et le FBI ont précédemment lié Sandworm APT et ses opérations numériques malveillantes au GRU russe, y compris la campagne destructrice NotPetya en 2017 et les attaques BlackEnergy contre le réseau électrique ukrainien en 2015 et 2016.
Similaire à VPNFilter, Cyclops Blink est utilisé pour infiltrer un grand nombre de cibles d’intérêt pour la Russie. Bien que principalement les appareils réseau WatchGuard soient attaqués actuellement, le NCSC et la CISA croient que Sandworm APT peut facilement recompiler le nouveau cadre pour menacer plusieurs types d’infrastructure.
Cyclops Blink est un exécutable ELF Linux malveillant, compilé pour l’architecture PowerPC 32 bits. L’analyse experte de Cyclops Blink par des agences de renseignement américaines fédérales et nationales, y compris le FBI, la CISA, la NSA et le NCSC britannique, a lié ce malware à un botnet de grande envergure affectant principalement les routeurs pour petits bureaux/bureaux à domicile (SOHO) et les appareils réseau. Cyclops Blink possède une structure modulaire avec des fonctionnalités de base et la capacité d’ajouter de nouveaux modules tout en fonctionnant, ce qui permet aux adversaires de renforcer les capacités offensives. Les modules supplémentaires intégrés, exécutés au démarrage, sont chargés de télécharger et de téléverser des fichiers, de collecter des données de l’appareil et de mettre à jour le malware lui-même. small office/home office (SOHO) routers and network devices. Cyclops Blink possesses a modular structure with basic functionality and the ability to add new modules while operating, which enables adversaries to enhance the offensive capabilities. The built-in additional modules that run at launch are in charge of downloading and uploading files, collecting device data, and updating the malware itself.
L’échantillon malveillant est généralement exploité dans la phase de post-exploitation lors de la soi-disant mise à jour du firmware. En particulier, Cyclops Blink utilise des canaux de mise à jour de firmware légitimes pour pouvoir accéder aux réseaux infectés via l’injection de code et le déploiement d’images de firmware modifiées. La menace peut persister lors du redémarrage de l’appareil, ce qui rend sa mitigation une tâche complexe.
L’enquête du FBI, de la CISA, de la NSA et du NCSC britannique indique que Cyclops Blink n’impacte que les appareils réseau WatchGuard. Présumément, les développeurs de malware ont rétroconçu le mécanisme de mise à jour du firmware WatchGuard Firebox pour détecter d’éventuelles failles et les exploiter. Actuellement, WatchGuard estime qu’environ 1% des pare-feu actifs sont affectés.
Pour se défendre de manière proactive contre les attaques les plus récentes et faciliter, accélérer et rendre la détection des menaces plus efficace avec les meilleures pratiques de l’industrie et l’expertise partagée, inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime. La plateforme permet également aux professionnels du SOC de partager du contenu de détection de leur création, participer à des initiatives de premier plan et monétiser leur contribution.
