Seguir 
Em 23 de fevereiro de 2022, a CISA lançou um alerta afirmando que o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), a Agência de Segurança Nacional (NSA) e o Federal Bureau of Investigation (FBI) detectaram o uso de uma nova cepa maliciosa conhecida como Cyclops Blink. Como um substituto do notório VPNFilter, o novo exemplo nefasto também é desenvolvido por um infame grupo Sandworm APT para atacar dispositivos de rede.
Detecção de Malware Cyclops Blink
Para verificar o comportamento malicioso associado ao Cyclops Blink, incluindo os nomes de arquivos e o caminho, você pode baixar uma regra Sigma dedicada pelo nosso prolífico desenvolvedor Threat Bounty Onur Atali:
Detectar Malware Cyclops Blink Russo (via evento de arquivo)
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.
A regra está alinhada com a estrutura MITRE ATT&CK® v.10 mais recente, abordando as táticas de Execução, Evasão de Defesa, Escalação de Privilégio com Interpretador de Comando e Scripts (T1059), Injeção de Processos (T1055), e Desofuscar/Decodificar Arquivos ou Informações (T1140) como as principais técnicas.
Visão Geral do Cyclops Blink
Cyclops Blink é uma estrutura modular maliciosa desenvolvida para comprometer remotamente redes-alvo. O novo malware apareceu 14 meses após a interrupção do botnet VPNFilter, suspeita-se que seja um substituto para essa ameaça nefasta do grupo Sandworm APT. O NCSC, CISA, e o FBI já ligaram o grupo Sandworm APT e suas operações digitais maliciosas com o GRU Russo, incluindo a destrutiva campanha NotPetya em 2017 e os ataques BlackEnergy contra a rede elétrica ucraniana em 2015 e 2016.
Semelhante ao VPNFilter, o Cyclops Blink é usado para infiltrar um grande número de alvos de interesse para a Rússia. Embora, principalmente, dispositivos de rede WatchGuard estejam sob ataque agora, o NCSC e a CISA acreditam que o grupo Sandworm APT pode facilmente recompilar a nova estrutura para ameaçar múltiplos tipos de infraestrutura.
Cyclops Blink é um executável malicioso de Linux ELF, compilado para a arquitetura PowerPC de 32 bits. A análise especializada do Cyclops Blink das agências federais dos EUA e de inteligência em nível nacional, incluindo FBI, CISA, NSA e NCSC do Reino Unido, ligou esse malware a um botnet em larga escala que afeta principalmente roteadores de pequenos escritórios/escritórios domésticos (SOHO) e dispositivos de rede. O Cyclops Blink possui uma estrutura modular com funcionalidade básica e a capacidade de adicionar novos módulos enquanto opera, o que permite aos adversários aprimorar as capacidades ofensivas. Os módulos adicionais incorporados que executam no lançamento são responsáveis por baixar e enviar arquivos, coletar dados do dispositivo e atualizar o próprio malware. small office/home office (SOHO) routers and network devices. Cyclops Blink possesses a modular structure with basic functionality and the ability to add new modules while operating, which enables adversaries to enhance the offensive capabilities. The built-in additional modules that run at launch are in charge of downloading and uploading files, collecting device data, and updating the malware itself.
A amostra maliciosa é geralmente aproveitada na fase de pós-exploração durante a suposta atualização de firmware. Particularmente, o Cyclops Blink utiliza canais legítimos de atualização de firmware para obter acesso às redes infectadas via injeção de código e implantação de imagens de firmware reembaladas. A ameaça pode persistir após a reinicialização do dispositivo, o que torna sua mitigação uma tarefa sofisticada.
A investigação do FBI, CISA, NSA e NCSC do Reino Unido afirma que o Cyclops Blink afeta apenas dispositivos de rede WatchGuard. Presumivelmente, os desenvolvedores de malware reverteram a engenharia do mecanismo de atualização de firmware Firebox da WatchGuard para verificar possíveis falhas e explorá-las. Atualmente, a WatchGuard estima que aproximadamente 1% dos dispositivos de firewall ativos estão afetados.
Para se defender proativamente contra os ataques mais recentes e tornar a detecção de ameaças mais fácil, rápida e eficiente com as melhores práticas da indústria e conhecimentos compartilhados, inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime. A plataforma também permite aos profissionais de SOC compartilhar conteúdo de detecção de sua própria criação, participar de iniciativas de alto nível e monetizar a entrada.
