Cyclops Blink Malware

米国と英国の複数のサイバーセキュリティ機関が、CyclopsBlinkとして追跡されたマルウェアの脅威の発見を詳述した新しい共同セキュリティアドバイザリをリリースしました。報告によると、このマルウェアは、Sandwormとして知られるロシアが支援するサイバースパイグループに関連していると考えられています。同じハッカーのグループは、Voodoo Bear、BlackEnergy、TeleBotsとしても追跡されており、20年近く活動していると推定されています。

Cyclops Blinkは、2018年に一般公開されたVPNFilterとして知られる以前のSandwormマルウェアの後継であるようです。新しい脅威ツールは、侵害されたWatchGuardFireboxおよび同様のネットワークデバイスのボットネットを作成するように設計されています。脅威は無差別にそして広範囲に広まっています。

脅迫機能

対象のデバイスで確立されると、Cyclops Blinkは、サンドワームハッカーに侵害されたネットワークへのバックドアアクセスを提供します。脅威の侵入機能は、特別に設計されたモジュールを通じて拡散されます。マルウェアの最も注目すべき有害な機能には、追加のファイルをフェッチしたり、選択したファイルを盗み出したり、デバイス情報を収集して送信したり、コマンドアンドコントロール（C2）サーバーの操作から更新を取得したりする機能があります。

Cyclops Blinkが感染したデバイスに自分自身を埋め込むために使用する手法により、CyclopsBlinkは正当なファームウェアアップデートチャネルを悪用することができます。その結果、再起動中、さらには公式のファームウェア更新プロセス全体を通じて、脅威がシステムに存続する可能性があります。

WatchGuardは独自のアドバイザリを公開し、アクティブなファイアウォールデバイスの約1％が脅威の影響を受ける可能性があると述べています。侵害されたシステム上のすべてのアカウントが侵害されたと推定され、影響を受ける組織は、ネットワークデバイスの管理インターフェイスをインターネットから切断するために必要な手順を実装する必要があります。