Cyclops Blink Malware
来自美国和英国的多个网络安全机构发布了一份新的联合安全公告,详细说明了他们对被追踪为 Cyclops Blink 的恶意软件威胁的调查结果。根据该报告,该恶意软件被认为与俄罗斯支持的名为Sandworm的网络间谍组织有关。同一组黑客也被追踪为 Voodoo Bear、BlackEnergy 和 TeleBots,估计活跃了近 20 年。
Cyclops Blink 似乎是之前被称为VPNFilter的 Sandworm 恶意软件的继承者,该恶意软件于 2018 年向公众公开。新的威胁工具旨在创建一个由受感染的 WatchGuard Firebox 和类似网络设备组成的僵尸网络。威胁正在以不分青红皂白的方式广泛传播。
威胁函数
一旦在目标设备上建立,Cyclops Blink 就会为 Sandworm 黑客提供对受感染网络的后门访问。威胁的侵入性特征通过专门设计的模块传播。该恶意软件的一些最显着的有害功能包括获取附加文件、泄露选定文件、收集和传输设备信息以及从命令和控制 (C2) 服务器的操作中获取更新的能力。
Cyclops Blink 使用的将自身嵌入受感染设备的技术允许它利用合法的固件更新渠道。因此,威胁可以通过重新启动甚至在整个官方固件更新过程中持续存在于系统上。
WatchGuard 发布了自己的公告,称其大约 1% 的活动防火墙设备可能会受到威胁的影响。应假定被破坏系统上的所有帐户都已受到破坏,并且受影响的组织应实施必要的步骤以断开网络设备的管理接口与 Internet 的连接。
