Malware Cyclops Blink Utilizzato dal Gruppo Sandworm APT Sostituisce VPNFilter Come Riportato da CISA
Indice:
Il 23 febbraio 2022, CISA ha lanciato un avviso affermando che il National Cyber Security Centre del Regno Unito (NCSC), la Cybersecurity and Infrastructure Security Agency degli Stati Uniti (CISA), la National Security Agency (NSA) e il Federal Bureau of Investigation (FBI) hanno rilevato l’uso di un nuovo ceppo dannoso noto come Cyclops Blink. Come sostituto del famigerato VPNFilter, il nuovo campione nefasto è sviluppato anche da un noto Sandworm APT group per attaccare i dispositivi di rete.
Rilevamento Malware Cyclops Blink
Per verificare il comportamento dannoso associato a Cyclops Blink, inclusi i nomi dei file e il percorso, puoi scaricare una regola Sigma dedicata del nostro prolifico sviluppatore Threat Bounty Onur Atali:
Rilevamento Malware Cyclops Blink Russo (tramite evento file)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.
La regola è allineata con l’ultimo framework di MITRE ATT&CK® v.10, affrontando le tattiche di Execution, Defense Evasion, Privilege Escalation con Command and Scripting Interpreter (T1059), Process Injection (T1055), e Deobfuscate/Decode Files or Information (T1140) come tecniche principali.
Panoramica di Cyclops Blink
Cyclops Blink è un framework dannoso modulare sviluppato per compromettere da remoto reti mirate. Il nuovo malware è apparso 14 mesi dopo la distruzione del botnet VPNFilter, sospettato di essere un sostituto di questa minaccia nefasta da parte di Sandworm APT. L’NCSC, CISA e l’FBI hanno precedentemente collegato il Sandworm APT e le sue operazioni digitali dannose con il GRU russo, inclusa la distruttiva campagna NotPetya nel 2017 e gli attacchi BlackEnergy contro la rete elettrica ucraina nel 2015 e 2016.
Come VPNFilter, Cyclops Blink è utilizzato per infiltrarsi in un ampio numero di obiettivi di interesse per la Russia. Anche se principalmente i dispositivi di rete WatchGuard sono sotto attacco ora, l’NCSC e CISA credono che Sandworm APT possa facilmente ricompilare il nuovo framework per compromettere diversi tipi di infrastrutture.
Cyclops Blink è un eseguibile ELF Linux dannoso, compilato per l’architettura PowerPC a 32 bit. L’analisi esperta di Cyclops Blink da parte delle agenzie di intelligence federali degli Stati Uniti e a livello nazionale, inclusi FBI, CISA, NSA e UK NCSC, ha collegato questo malware con un botnet su larga scala che colpisce principalmente router per small office/home office (SOHO) e dispositivi di rete. Cyclops Blink possiede una struttura modulare con funzionalità di base e la capacità di aggiungere nuovi moduli durante il funzionamento, il che consente agli avversari di migliorare le capacità offensive. I moduli aggiuntivi incorporati che si avviano all’accensione sono responsabili del download e dell’upload di file, della raccolta dei dati del dispositivo e dell’aggiornamento del malware stesso. small office/home office (SOHO) routers and network devices. Cyclops Blink possesses a modular structure with basic functionality and the ability to add new modules while operating, which enables adversaries to enhance the offensive capabilities. The built-in additional modules that run at launch are in charge of downloading and uploading files, collecting device data, and updating the malware itself.
Il campione dannoso è tipicamente sfruttato nella fase post-exploit durante il presunto aggiornamento del firmware. In particolare, Cyclops Blink utilizza canali di aggiornamento firmware legittimi per ottenere l’accesso alle reti infette tramite iniezione di codice e distribuzione di immagini firmware ripacchettate. La minaccia può persistere al riavvio del dispositivo, rendendo la sua mitigazione una compito sofisticato.
L’indagine di FBI, CISA, NSA e UK NCSC afferma che Cyclops Blink impatta solo sui dispositivi di rete WatchGuard. Presumibilmente, gli sviluppatori del malware hanno eseguito l’ingegneria inversa del meccanismo di aggiornamento del firmware WatchGuard Firebox per controllare possibili falle e sfruttarle. Attualmente, WatchGuard stima che circa l’1% degli appliance firewall attivi sia colpito.
Per difendersi proattivamente dagli attacchi più recenti e rendere più facile, veloce ed efficiente il rilevamento delle minacce con le migliori pratiche del settore e l’esperienza condivisa, iscriviti gratuitamente alla piattaforma Detection as Code di SOC Prime. La piattaforma consente anche ai professionisti SOC di condividere contenuti di rilevamento di loro creazione, partecipare a iniziative di alto livello e monetizzare i contributi.
