首页 > 安全 > 正文

俄罗斯连接的独眼巨人闪烁僵尸网络定位华硕路由器

最后更新 :2022.03.18

最近发现的独眼巨人眨眼僵尸网络被认为是  vpnfilter 僵尸网络的替代品,现在正在定位华硕路由器。

最近发现的独轮闪烁僵尸网络现在瞄准华硕路由器,报告趋势科技研究人员。

自2019年6月以来,Cyclops闪烁恶意软件已激活,它针对观察员渔箱和其他小型办公室/家庭办公室(SOHO)网络设备。根据看板,Cyclops眨眼可能会影响所有活跃的手表防火墙电器的大约1%。

在2月,美国和英国网络安全和执法机构发表了一份关于环结的独眼巨人的联合安全咨询。到俄罗斯支持的NBSP; Sandworm&Nbsp; Apt组。

棕色ES(GTSST)。

该集团也是该&NBSP的作者; Notpetya Ransomware 这是2017年6月全球范围内的数百家公司,导致数十亿的损害。

眨眼间眨眼间眨眼间成为VPNFilter BotNet的替代品,该僵尸网络在2018年首次暴露,当时由超过500,000个受损路由器和网络附加的存储器(NAS)设备组成。

我们的数据也表明了虽然周瓣眨眼是一个国家赞助的僵尸网络,其C& C服务器和机器人影响着不属于关键组织的手表Firebox和华硕设备,或者那些对经济,政治或军事间谍活动有明显的价值。阅读Trendmicro发布的咨询。因此,我们认为,Cyclops眨眼僵尸网络的主要目的是建立一个基础设施,以进一步攻击高价值目标。

Cyclops闪烁是Nation-State BotNet,具有模块化架构,写成在e C语言。执行核心组件时,恶意软件首先检查其可执行文件名是否以[k。如果没有,它会执行以下例程: 

它将stdout和stderr文件描述符重定向到/ dev / null。它设置了Sigterm,Sigint,Sigbus,SigPipe和Sigio信号的默认处理程序。它用新的[KTEST]进程名称重新加载。然后,BOT等待在设置其硬编码参数之前37秒,包括硬编码的C2服务器和应使用的间隔与它们通信。 

用于与C2服务器通信的-Coded TCP端口,机器人在Linux内核防火墙NetFilter中创建规则。

自2019年6月以来,恶意软件在美国,印度,意大利,加拿大和俄罗斯等许多国家的恶意软件所指定的手表设备和华硕路由器。专家指出,这些受害者似乎对任何一个经济都没有明显有价值的目标C,军事或政治间谍活动。趋势科技观察到一些Live C& CS托管在欧洲律师事务所使用的监护设备上,是一家中型公司生产南欧牙医的医疗设备和美国的水管工。

专家警告对全球范围的IOT攻击增加,使互联网路由器成为主要目标之一。

一旦IOT设备感染了恶意软件,攻击者就可以具有不受限制的Internet访问权限如下来下载和部署更多攻击者的恶意软件阶段,间谍,代理或攻击者想要做的任何其他事情。大多数IOT设备的底层操作系统是Linux,也是许多强大的系统工具使用的。这可以允许攻击者添加其他可能需要完成其攻击的其他任何内容。结束了报告。在Cyclops眨眼的情况下,我们已经看到了30多个月内受到损害的设备(约两个和a半年)连续,正在设置为稳定的C&其他机器人的C服务器。 

- END -

看更多