Cyclops Blink Malware Used by Sandworm APT Group Replaces VPNFilter As Reported by CISA

2022年2月23日、CISAは、英国国家サイバーセキュリティセンター（NCSC）、米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）、国家安全保障局（NSA）、連邦捜査局（FBI）が、Cyclops Blinkと呼ばれる新しい悪質なストレインの使用を検出したとする警告を発表しました。悪名高いVPNFilterの代わりに、新しい悪意のあるサンプルもまた、悪名高い Sandworm APTグループ によってネットワークデバイスを攻撃するために開発されています。

Cyclops Blinkマルウェア検出

Cyclops Blinkに関連する悪意のある動作をチェックするには、 ファイル名やパスを含む、当社の著名なThreat Bounty開発者 Onur Atali:

による専用のSigmaルールをダウンロードできます。

この検出には次のSIEM、EDR、およびXDRプラットフォーム用の変換があります：Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Microsoft Defender for Endpoint、Securonix、Apache Kafka ksqlDB、Carbon Black、Qualys。

このルールは最新のMITRE ATT&CK®フレームワークv.10に準拠しており、コマンドとスクリプトインタープリタ（T1059）、プロセスインジェクション（T1055）、およびファイルまたは情報のデオブスケート/デコード（T1140）を主要な技術として、実行、ディフェンスエベージョン、特権エスカレーション戦術に対応しています。

Cyclops Blink概観

Cyclops Blinkは、標的とされたネットワークをリモートで侵害するために開発されたモジュール化された悪意のあるフレームワークです。この新しいマルウェアは、VPNFilterボットネットの破壊から14か月後に現れました。これは、Sandworm APTによってこの悪質な脅威の代わりとして疑われています。NCSC、CISA、FBIは、Sandworm APTとその悪意のあるデジタルオペレーションをロシアのGRUとリンクさせており、 NotPetya キャンペーン （2017年）や、 BlackEnergy攻撃 （2015年および2016年）によるウクライナの電力網への攻撃を含んでいます。

VPNFilterと同様に、Cyclops Blinkはロシアにとって興味のある多くのターゲットに侵入するために使用されます。主にWatchGuardネットワークデバイスが現在攻撃対象となっていますが、NCSCおよびCISAは、Sandworm APTが新しいフレームワークを簡単に再コンパイルして複数の種類のインフラストラクチャを危険にさらすことができると信じています。

Cyclops Blinkは悪意のあるLinux ELF実行ファイルで、32ビットPowerPCアーキテクチャ用にコンパイルされています。専門的なCyclops Blink 分析 は、FBI、CISA、NSA、およびUK NCSCを含む米国の連邦および国家レベルの情報機関によって、このマルウェアが主に 小規模オフィス/ホームオフィス（SOHO）のルーターおよびネットワークデバイスに影響を与える大規模ボットネットとリンクしているとされています。Cyclops Blinkは、基本機能を持つモジュール構造をしており、新しいモジュールを追加しながら操作する能力を備えており、攻撃者が攻撃能力を向上させることができます。起動時に実行される組み込みモジュールは、ファイルのダウンロードおよびアップロード、デバイスデータの収集、マルウェア自体の更新を担当します。

悪意のあるサンプルは、通常、ファームウェアのアップグレードが行われたとされるポストエクスプロイトフェーズで利用されます。特にCyclops Blinkは、正規のファームウェア更新チャネルを利用して、コードインジェクションとリパッケージされたファームウェアイメージを展開することで、感染ネットワークにアクセスできるようにします。この脅威は、デバイスの再起動を持続させることができるため、その緩和は高度な作業を必要とします。

FBI、CISA、NSA、およびUK NCSCによる調査によれば、Cyclops BlinkはWatchGuardのネットワークデバイスにのみ影響を与えます。おそらく、マルウェア開発者はWatchGuard Fireboxのファームウェア更新メカニズムを逆行して可能性のある欠陥をチェックし、それを悪用したのでしょう。現在、WatchGuard は、現在稼働中のファイアウォール機器の約1％が影響を受けていると評価しています。 that approximately 1% of active firewall appliances are affected.

最新の攻撃に対して積極的に防御し、業界のベストプラクティスと共有された専門知識で脅威の検出をより簡単に、迅速に、効率的にするためには、無料で登録して SOC PrimeのDetection as Codeプラットフォームをご利用ください。この プラットフォーム により、SOCの専門家は 自分の作成した検出コンテンツを共有し、トップクラスのイニシアチブに参加し、その入力を収益化することができます。 of their creation, participate in top-tier initiatives, and monetize the input.