Cyclops Blink 악성코드

Cyclops Blink 악성코드 설명

미국과 영국의 여러 사이버 보안 기관은 Cyclops Blink로 추적되는 맬웨어 위협에 대한 조사 결과를 자세히 설명하는 새로운 공동 보안 권고를 발표했습니다. 보고서에 따르면 이 악성코드는 샌드웜( Sandworm )으로 알려진 러시아의 지원을 받는 사이버 스파이 그룹과 관련이 있는 것으로 여겨집니다. 같은 해커 그룹도 Voodoo Bear, BlackEnergy 및 TeleBots로 추적되었으며 거의 20년 동안 활동한 것으로 추정됩니다.

Cyclops Blink는 2018년에 대중에게 노출된 VPNFilter 로 알려진 이전 Sandworm 악성코드의 후계자로 보입니다. 새로운 위협 도구는 손상된 WatchGuard Firebox 및 유사한 네트워크 장치의 봇넷을 생성하도록 설계되었습니다. 위협은 무차별적이고 광범위한 방식으로 전파되고 있습니다.

위협하는 기능

대상 장치에 설정된 Cyclops Blink는 Sandworm 해커를 위해 손상된 네트워크에 대한 백도어 액세스를 제공합니다. 위협의 침입 기능은 특별히 설계된 모듈을 통해 확산됩니다. 악성코드의 가장 눈에 띄는 해로운 기능에는 추가 파일 가져오기, 선택한 파일 추출, 장치 정보 수집 및 전송, 명령 및 제어(C2) 서버 작업에서 업데이트 가져오기 등이 있습니다.

Cyclops Blink가 감염된 장치에 자신을 내장하기 위해 사용하는 기술을 통해 합법적인 펌웨어 업데이트 채널을 악용할 수 있습니다. 결과적으로 위협은 재부팅을 통해 그리고 공식 펌웨어 업데이트 프로세스 내내 시스템에 지속될 수 있습니다.

WatchGuard는 활성 방화벽 장치의 약 1%가 위협의 영향을 받을 수 있다는 자체 권고 를 발표했습니다. 침해된 시스템의 모든 계정은 손상된 것으로 간주되어야 하며 영향을 받는 조직은 인터넷에서 네트워크 장치의 관리 인터페이스를 분리하는 데 필요한 단계를 구현해야 합니다.