Cyclops Blink Malware

Cyclops Blink Malware說明

來自美國和英國的多個網絡安全機構發布了一份新的聯合安全公告,詳細說明了他們對被追踪為 Cyclops Blink 的惡意軟件威脅的調查結果。根據該報告,該惡意軟件被認為與俄羅斯支持的名為Sandworm的網絡間諜組織有關。同一組黑客也被追踪為 Voodoo Bear、BlackEnergy 和 TeleBots,估計活躍了近 20 年。

Cyclops Blink 似乎是之前被稱為VPNFilter的 Sandworm 惡意軟件的繼承者,該惡意軟件於 2018 年向公眾公開。新的威脅工具旨在創建一個由受感染的 WatchGuard Firebox 和類似網絡設備組成的殭屍網絡。威脅正在以不分青紅皂白的方式廣泛傳播。

威脅函數

一旦在目標設備上建立,Cyclops Blink 就會為 Sandworm 黑客提供對受感染網絡的後門訪問。威脅的侵入性特徵通過專門設計的模塊傳播。該惡意軟件的一些最顯著的有害功能包括獲取附加文件、洩露選定文件、收集和傳輸設備信息以及從命令和控制 (C2) 服務器的操作中獲取更新的能力。

Cyclops Blink 使用的將自身嵌入受感染設備的技術允許它利用合法的固件更新渠道。因此,威脅可以通過重新啟動甚至在整個官方固件更新過程中持續存在於系統上。

WatchGuard 發布了自己的公告,其中指出大約 1% 的活動防火牆設備可能會受到威脅的影響。應假定被破壞系統上的所有帳戶都已受到破壞,並且受影響的組織應實施必要的步驟以斷開網絡設備的管理接口與 Internet 的連接。