Cyclops Blink 맬웨어, CISA 보고에 따르면 Sandworm APT 그룹에 의해 VPNFilter를 대체

2022년 2월 23일, CISA는 영국 국가 사이버 보안 센터(NCSC), 미국 사이버 보안 및 인프라 보안국(CISA), 국가 안보국(NSA), 연방 수사국(FBI)이 Cyclops Blink로 알려진 새로운 악성 코드의 사용을 감지했다고 경고를 발표했습니다. 악명 높은 VPNFilter의 대체물로, 새로운 악의적 샘플도 악명 높은 Sandworm APT 그룹 네트워크 장치를 공격하기 위해 개발되었습니다.

Cyclops Blink 악성코드 탐지

Cyclops Blink와 관련된 악의적 행동을 확인하기 위해, 파일 이름 및 경로를 포함하여, 우리 뛰어난 위협 바운티 개발자 Onur Atali:

에 의해 제공된 전용 Sigma 규칙을 다운로드할 수 있습니다.

이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역이 제공됩니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 명령 및 스크립팅 인터프리터 (T1059), 프로세스 인젝션 (T1055), 파일 또는 정보의 비모호화/디코딩 (T1140) 기술을 사용한 실행, 방어회피, 권한 상승 전술을 다룹니다.

Cyclops Blink 개요

Cyclops Blink는 원격으로 타겟 네트워크를 침해하도록 개발된 모듈식 악성 프레임워크입니다. 새로운 악성코드는 VPNFilter 봇넷 중단 14개월 후에 등장했으며, Sandworm APT의 이 악명 높은 위협의 대체물로 의심됩니다. NCSC, CISA 및 FBI는 이전에 Sandworm APT와 그 악의적 디지털 작전을 러시아 GRU와 연결시켰으며, 파괴적인 NotPetya 캠페인 2017년의 BlackEnergy 공격 2015년과 2016년의 우크라이나 전력망을 대상으로 했습니다.

VPNFilter와 마찬가지로, Cyclops Blink는 러시아에 관심 있는 다수의 타겟을 침투하는 데 사용됩니다. 주로 WatchGuard 네트워크 장치가 현재 공격받고 있지만, NCSC와 CISA는 Sandworm APT가 새로운 프레임워크를 쉽게 재컴파일하여 여러 유형의 인프라를 위험에 빠뜨릴 수 있다고 믿습니다.

Cyclops Blink는 32비트 PowerPC 아키텍처용으로 컴파일된 악성 Linux ELF 실행 파일입니다. 전문가 Cyclops Blink 분석 FBI, CISA, NSA, 및 영국 NCSC를 포함한 연방 미국 및 국가 수준의 정보 기관들이 이 악성코드를 SOHO 라우터 및 네트워크 장치에 주로 영향을 미치는 대규모 봇넷과 연결시켰습니다. Cyclops Blink는 기본 기능과 새로운 모듈을 추가할 수 있는 모듈식 구조를 갖추고 있어 공격자에게 공격 능력을 향상시킬 수 있습니다. 시작 시 실행되는 내장 추가 모듈은 파일 다운로드 및 업로드, 장치 데이터 수집, 및 악성코드 자체 업데이트를 담당합니다.

이 악의적 샘플은 일반적으로 펌웨어 업그레이드의 추정 단계에서 활용됩니다. 특히 Cyclops Blink는 합법적인 펌웨어 업데이트 채널을 사용하여 코드 인젝션 및 재포장된 펌웨어 이미지 배포를 통해 감염된 네트워크에 접근할 수 있습니다. 이 위협은 장치 재부팅을 지속할 수 있어 완화가 복잡한 작업이 됩니다.

FBI, CISA, NSA 및 영국 NCSC의 조사는 Cyclops Blink가 WatchGuard 네트워크 장치에만 영향을 미친다고 명시합니다. 이 악성코드 개발자는 WatchGuard Firebox 펌웨어 업데이트 메커니즘을 역설계하여 가능한 취약점을 확인하고 이를 악용한 것으로 추정됩니다. 현재 WatchGuard는 약 1%의 활성 방화벽 장치가 영향을 받았다고 추정합니다.

최신 공격에 대해 사전에 방어하고 위협 감지를 더 쉽고 빠르며 효율적으로 만드는 최고의 업계 관행 및 공유 전문성을 활용하기 위해 무료로 SOC Prime의 Detection as Code 플랫폼에 가입하십시오. 이 플랫폼은 SOC 전문가가 자신의 작성 탐지 콘텐츠를 공유하고, 최고 수준의 이니셔티브에 참여하며, 입력값을 수익화할 수 있도록 합니다. of their creation, participate in top-tier initiatives, and monetize the input.