ロシアが支援するハッキンググループの新しいボットネットマルウェア「Cyclops Blink」を英国と米国が特定し警告

GIGAZINE



アメリカとイギリスのサイバーセキュリティ当局および法執行機関が、ロシア政府が支援するハッカー集団のサンドワーム(74455部隊)が利用している新しいマルウェアの「Cyclops Blink」について警告しています。

New Sandworm malware Cyclops Blink replaces VPNFilter – NCSC.GOV.UK
https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter

Important Detection and Remediation Actions for Cyclops Blink State-Sponsored Botnet | WatchGuard Technologies
https://www.watchguard.com/wgrd-news/blog/important-detection-and-remediation-actions-cyclops-blink-state-sponsored-botnet

Russia’s most cutthroat hackers infect network devices with new botnet malware | Ars Technica
https://arstechnica.com/information-technology/2022/02/russias-most-cut-throat-hackers-infect-network-devices-with-new-botnet-malware/

US, UK link new Cyclops Blink malware to Russian state hackers
https://www.bleepingcomputer.com/news/security/us-uk-link-new-cyclops-blink-malware-to-russian-state-hackers/

2019年6月以降、サンドワームのオペレーターがボットネットを作成することを支援する「Cyclops Blink」というマルウェアが、WatchGuard FireboxやSOHOネットワーク上のデバイスを標的に動作していることが確認されています。

イギリスの国家サイバーセキュリティセンターであるNCSCはCyclops Blinkについて、「Cyclops Blinkと名づけられたマルウェアは、2018年に公開されたマルウェア・VPNFilterに代わるもので、サンドワームがネットワークにリモートアクセスできるようになる可能性があるというものです」「Cyclops BlinkはVPNFilterと共通しており、展開も無差別に広がっているように見えます」と警告。

NCSCによると、Cyclops Blinkは主にWatchGuardデバイスにデプロイしていますが、サンドワームは他のアーキテクチャやファームウェア向けにCyclops Blinkをコンパイルできる可能性があるとのことです。

なお、標的となっているWatchGuardの開発元は、Cyclops Blinkが主にビジネス顧客によって使用される端末でアクティブなWatchGuardファイアウォールアプライアンスの約1%に影響を与えた可能性があると記しています。


NCSC、FBI、CISA、NSAといった機関による分析によると、Cyclops Blinkはコマンド&コントロールサーバーとの間でファイルをアップロード/ダウンロードし、端末情報を収集して盗み出します。Cyclops Blinkにはマルウェアを更新するために特別に開発されたモジュールも付属しているそうです。Cyclops Blinkは感染した端末の正当なファームウェア更新チャネルを利用して、悪意のあるコードを挿入し、再パックされたファームウェアイメージを展開することで、侵害されたシステムへのアクセスを維持します。


NCSCによると、「Cyclops Blinkは再起動時及び正当なファームウェア更新プロセス全体を通じて持続するため、影響を受ける組織はマルウェアを削除するための措置を講じる必要がある」とのことです。

なお、WatchGuardはFBI、CISA、NCSCと緊密に連携し、非標準のアップグレードプロセスを通じ、WatchGuardデバイス上のCyclops Blinkの検出と削除を可能にするツールとガイダンスを提供するとしています。

Cyclops Blinkに感染したデバイスのすべてのアカウントは侵害されているとみなす必要があるため、組織は影響を受けるネットワークデバイスの管理インターフェイスへのインターネットアクセスを即座に削除する必要があります。

この記事のタイトルとURLをコピーする

Source

タイトルとURLをコピーしました