CISA:警惕俄罗斯 “Sandworm” 黑客组织使用的新型恶意软件框架
编译:代码卫士
英国国家网络安全中心 (NCSC) 、美国网络安全和基础设施安全局(CISA)、美国国家安全局 (NSA) 和 FBI发布安全公告指出,臭名昭著的 Sandworm 即 Voodoo Bear 黑客组织被指和俄罗斯格鲁乌有关,它目前更改了恶意软件基础设施。
Sandworm 被指发动多起破坏性攻击,如在2015年针对乌克兰电力系统发动 BlackEngergy 攻击、2016年针对乌克兰发动 Industroyer 攻击、2017年发动NotePetya 破坏性数据擦除攻击、2019年针对格鲁吉亚的DoS 攻击以及在2018年攻击冬残奥会。
报告中所提到的 Cyclops Blink 模块恶意软件框架至少在2019年6月开始用于攻击中。受害者网络遭渗透后,Cyclops Blink 一般通过恶意固件更新被注入。该恶意软件替代了该组织的 VPNFilter基础设施,后者在2018年5月被美国司法部拿下。
报告指出,“截至目前,攻击者主要将 Cyclops Blink 部署到 WatchGuard 设备中,但 Sandworm 组织可能能够为其它架构和固件编译该恶意软件。”报告指出只有 Watchguard 设备被重置打开远程管理接口,受该恶意软件感染。
报告中详细描述了 Cyclops Blink 恶意软件及其妥协指标。
报告详见:https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf
https://www.darkreading.com/vulnerabilities-threats/cisa-warns-of-new-malware-framework-employed-by-infamous-sandworm-hacking-team
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。