中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊,瞄準歐洲、亞洲和澳洲,研究顯示已鎖定台灣政府機構!

中國APT駭客組織Mustang Panda小檔案:

別名:Bronze President、HoneyMyte、Red Lich、TEMP.HEX、TA416、RedDelta、LuminousMoth、PKPLUG

主要目標行業:非政府組織(NGOs)、政府、電信業

攻擊向量:魚叉式網路釣魚、垃圾郵件、DLL 側載、誘騙

目標地區:北美、西/東歐、南亞、中亞、東亞、非洲、大洋洲

常使用的惡意軟體:PlugX、Hodur、Toneins、ToneShell、PubLoad、Poison Ivy

利用的漏洞:CVE-2021-26855、CVE-2021-27065、CVE-2017-0199

常使用的工具:Cobalt Strike

Mustang Panda,也被稱為青銅總統(Bronze president),TA416和 Earth Preta等,是一個由中國國家資助的高級持續威脅 (APT) 組織,至少從2017 年開始活躍。該組織主要針對東南亞的組織,重點是政府、軍事和外交實體,並以其使用的定製版本的 PlugX 惡意軟體對全球組織進行數據竊取攻擊而聞名,中國APT駭客組織 Mustang Panda在今年開始的攻擊中部署了一個名為MQsTTang的新自訂義後門。

Mustang Panda 的新 MQsTTang惡意後門似乎並非基於以前的惡意軟體,這表明駭客為了逃避檢測開發了它。根據3 月 2 日ESET
發布的報告,其研究人員在 2023 年 1 月開始並且仍在進行的活動中發現了 MQsTTang,該活動針對歐洲和亞洲的政府和政治組織,重點是台灣和烏克蘭。它的目標顯然是向中國提供必要的情報,以避免負面報導或影響其他國家的政策。例如,在俄烏戰爭期間,駭客組織通過載有與俄羅斯襲擊烏克蘭相關的主題和新聞的文件將歐洲組織作為目標。

Mustang Panda最新的活動目標 Photo Credit: ESET

據悉,惡意軟體通過魚叉式網路釣魚電子郵件進行分發,而有效負載是從與之前的 Mustang Panda 活動相關聯的用戶建立的 GitHub 存儲庫中下載的。該惡意軟體是壓縮在 RAR 檔案中的可執行檔案,其名稱帶有外交主題,例如外交使團成員的護照掃描件、大使館照會等。

新的 MQsTTang 後門

ESET 將 MQsTTang 描述為Barebones後門,使駭客組織能夠在受害者的機器上遠端執行命令並接收其輸出。這個新的 MQsTTang 後門提供了一種遠端Shell,沒有任何與該組織的其他惡意軟體家族相關的附加功能,”ESET 報告中寫道。

啟動後,惡意軟體會使用命令行參數建立自身副本,執行各種任務,例如啟動 C2 通信、建立持久性等。

惡意軟體執行的任務 Photo Credit: ESET

通過在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”下添加一個新的註冊表項來建立持久性,這會在系統啟動時啟動惡意軟體,重啟後,只執行C2通信任務。

攻擊鏈 Photo Credit:ESET

新型後門的一個不尋常特徵是使用 MQTT 協議進行C2伺服器通信。MQTT為惡意軟體提供了對 C2 攻擊的良好彈性,通過代理傳遞所有通信來隱藏攻擊者的基礎設施,並使其不太可能被尋找更常用的 C2 協定的防禦者檢測到。

MQTT Broker位於 C2和受害機器之間 Photo Credit: ESET

為了逃避檢測,MQsTTang 會檢查主機上是否存在除錯工具(Debuggers)或監控工具,如果發現,它會相應地更改其行為。

Trend Micro 的分析師在2022 年 3 月至 2022 年 10 月期間觀察到另一項最近的 Mustang Panda 行動,他們報告說看到了針對澳洲、日本、台灣和菲律賓組織的嚴重目標。

在那次活動中,威脅組織使用了三種惡意軟體變種,即 PubLoad、ToneIns 和 ToneShell,這三種惡意軟體在 ESET 發現的 2023 年活動中並不存在。

MQsTTang 是否會成為Mustang Panda長期武器庫的一部分,或者它是否是為專門特定操作所開發的,還有待觀察。

MQsTTang的部分入侵指標(Indicator of compromise -IOCs):

a0d7e541d5c579d2e0493794879fee58d8603b4f3fb146df227efa34c23d830e

74fe609eb8f344405b41708a3bb3c39b9c1e12ff93232d4b7efe648d66ea7380

554b27f3fb4b11b2b4e996959f0c70710986eb9ccf49efa29b2620d8d5cae152

329cacf1ef98fe7914fc682ca34893a9a68593b1ee944335cd911b865cb84bb3

中國APT駭客組織ToddyCat建立了新型間諜軟體,以 MS Exchange伺服器為目標,對歐洲和亞洲知名實體發動針對性攻擊,台灣也受害!

ToddyCat 的工具–Samurai後門和 Ninja木馬旨在為攻擊者提供對入侵網路的持久性和深度存取

被稱為 ToddyCat的APT 駭客組織使用兩個以前不為人知的工具,分別稱為“Samurai backdoor”和“Ninja Trojan”。據Kaspersky的分析顯示,ToddyCat 的活動始於 2020 年 12 月,針對台灣和越南三個組織的未修補的 Exchange 伺服器進行了攻擊。攻擊者使用未知漏洞破壞 Exchange 伺服器並在系統上部署China Chopper Web shell,然後使用 Web shell 啟動了一個多階段的感染鏈,其中涉及自訂義入程式,最終以一種新型的惡意軟體工具一個名為“Samurai”的被動式後門程式,部署在被侵的系統上。

Samurai後門旨在讓攻擊者持續存取面向 Internet 的 Web 伺服器,後門經由在Port 80 和 443 上運作,主要用於在受感染的系統上遠端執行任意C#程式,可配合多種模組,允許攻擊者執行遠端程式並在目標網路內橫向移動。

2020 年 12 月至 2021 年 2 月是第一波攻擊的時期,ToddyCat鎖定了台灣和越南少數的Exchange伺服器, 隨後從 2 月 26 日到 3 月初,ToddyCat的攻擊迅速升級,開採Exchange Server的ProxyLogon漏洞攻擊歐洲和亞洲的多個高知名度組織,包括政府、軍事單位和軍方外包商。Kaspersky表示,ToddyCat的受害者包括俄羅斯、英國、斯洛伐克、印度、伊朗和馬來西亞的組織,能實現可能與地緣政治利益相關的關鍵目標,屬於傳統上中國APT駭客組織感興趣的行業和部門。

攻擊鏈,Photo Credit: Kaspersky

研究人員在調查攻擊中也發現,雖然第一波的攻擊,植入Samurai 後門針對 MS Exchange伺服器,但在隨後的一些攻擊中使用 Samurai 後門啟動“Ninja”木馬程式,另一種以前沒被發現過的攻擊工具。

Ninja 是一種類似Cobalt Strike 的惡意軟體,用於在已經受到攻擊的系統上執行後攻擊活動(post-exploitation)的工具,允許攻擊者控制遠端系統,操縱檔案系統,操縱進程,在其他進程中注入任意程式碼,轉發 TCP 數據包,還能修改HTTP header及URL 路徑,偽裝惡意流量,躲避偵測。從技術角度來看,Ninja是一種協作工具,允許多個攻擊者同時在同一台機器上操作。

總括而言,使 Samurai 和 Ninja 變得危險的原因在於惡意軟體中包含的反取證和反分析技術。例如Samurai 旨在與 Microsoft Exchange 共享 TCP 端口 80 和 443,無法通過監視端口來檢測,該惡意軟體還使用複雜的載入方式來避免檢測並保持持久性。此外,它使用一種稱為控制流扁平化的技術來避免被靜態分析工具檢測到。Ninja Trojan是一種模組化惡意軟體,攻擊者可以輕鬆擴展其功能,另外,由於Ninja Trojan僅在內存中運行,從未出現在檔案系統上,因此更難被檢測。

有關ToddyCat的”部分”入侵指標(Indicator of compromise -IOCs):

Hostname:

eohsdnsaaojrhnqo.windowshost.us

SHA 256:

e9bd74e4609cdcaf77e191628ccde2124be03a8daf38f1615df6fe7d096b0fba

be34b508eaf7d58f853fc912d43b0b51e6b963726742e383c2a8b2b0828a736f

8e2cd616286a13df82c9639d84e90a3927161000c8204905f338f3a79fe73d13

2b0e66bb1a4877cfe650a027754e18085d0e34ab73025d9458e6136560120ec5

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

中國APT駭客組織Naikon透過新的間諜攻擊,重新浮出水面

資安研究員發現,在最近幾週,名為Naikon的中國APT駭客組織又重新露面,並發起了新的網路釣魚攻擊,再次針對東南亞國家,旨在竊取政府機構的情報資訊。

Naikon也稱為Override Panda、Hellsing 和 Bronze Geneva,至少自 2005 年以來,該組織就以代表中國政府利益展開針對亞太地區國家(如文萊、柬埔寨、印度尼西亞、老撾、馬來西亞、緬甸、菲律賓、新加坡、泰國和越南等)的情報收集行動。資安公司Cluster25在這數週發現的攻擊中,觀察到Naikon的攻擊鏈涉及使用附加到網路釣魚電子郵件的誘餌檔案,這些檔案旨在誘使目標受害者打開並使用惡意軟體危害受目標。去年4月,Naikon與針對東南亞的軍事組織的廣泛網路間諜活動有關,研究也指出在2021年8月發現Naikon參與了2020年底針對東南亞地區電信行業的網路攻擊。

Photo Credit: Cluster 25

Cluster25表示Naikon最新的攻擊與之前間諜活動沒有什麼不同,利用武器化的 Microsoft Office 檔案來啟動感染攻擊鏈,Naikon使用網路釣魚電郵來投遞名為“Viper”的紅隊的紅隊框架的信標,旨在啟動和執行一個載入型的 Shellcode Loader。

據了解,Viper是一種開源的滲透測試工具並可從GitHub下載,是一款由中國人開發的工具,大部分文檔都是用簡體中文編寫的。Viper具有圖形化的操作界面,讓用戶使用瀏覽器即可進行內網滲透。與 CobaltStrike工具 一樣,Viper允許輕鬆生成有效負載,例如 Meterpreter、ReverseShell 和其他自定義的信標。據說, Viper具有 80 多個模組,使駭客能建立初始入侵存取、保持持久性、權限升級、憑證存取、橫向移動和執行任意指令等。

研究人員指出在分析過程中,通過觀察 Naikon的駭客武器庫,可以得出結論,該組織傾向於進行長期的情報和間諜活動,是典型旨在對外國政府和官員進行攻擊的組織,同時,Naikon為了避免檢測並最大化結果,隨著時間的推移更改了不同的 TTPs 和工具。Cluster25 在報告中表示,鑑於Naikon早期的攻擊的歷史,這次攻擊的目標極很可能同樣是針對東南亞國家的政府機構。

有關Naikon的部分入侵指標(Indicator of compromise -IOCs):

SHA256        05936ed2436f57237e7773d3b6095e8df46821a62da49985c98be34136594ebd

SHA256        8b831ee82975d43456ee861115272d3923e17f07a702eb057feeed8ce76ff4ca

SHA256        ee50160fdd7cacb7d250f83c48efa55ae0479e47a1eece9c08fe387453b9492a

SHA256   eeb5dc51e3828ffbefc290dc1a973c5afc89ba7ff43ab337d5a3b3dc6ca4216f

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日本跨國企業Panasonic和Konica Minolta傳二度遭駭,旗下子公司同遭Conti勒索軟體毒手,數據已在暗網公開!

2021年6 月日本松下(Panasonic)曾發現其系統遭不明駭客入侵長達五個月

2020年8月日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊

松下加拿大和柯尼卡美能達英國的截圖 Photo Credit: Conti Leaks

在清明連假期間的4月4日,日本Konica Minolta代旗下英國子公司Konica Minolta Marketing Services 公告,證實在3月23日發現非法第三方存取其內部系統,由於檢測到入侵行為,該公司已採取措施包括停止對外連線,恢復備份等相關程序,並稱沒有員工個資或客戶資料外洩,據觀察,操作Conti勒索軟體的駭客組織亦於4月3日在其揭秘網站Conti Leaks,發佈了部分從Konica Minolta英國盜來的相關數據,約370KB。

另外,根據Conti Leaks日本Panasonic的加拿大子公司Panasonic Canada,亦是Conti勒索軟體的受害者,Conti聲稱已盜出屬於Panasonic Canada內部銷售和其他敏感數據,目前已釋出約2.7GB的數據,Panasonic Canada暫沒針對是否遭Conti入侵或其內部發生資安事件作出回應。

Conti是目前的主流勒索軟體,亦是一個人為操作的「雙重勒索」型勒索軟體,採用威脅曝光企業資料和加密資料勒索的雙重勒索策略, Panasonic Canada和Konica Minolta Marketing Services很有可能已回絕駭客支付贖金的要求,因此數據遭外洩。值得一提的是, Konica Minolta 和Panasonic的日本母公司內部也分別發生過資安事件, 2020年7月底日本柯尼卡美能達(Konica Minolta)曾遭勒索軟體RansomEXX攻擊,系統斷線數日; 2021年6 月日本松下(Panasonic)遭受了長達約五個月的入侵。

日本企業資安防禦不足,在去年和今年許多企業遭受網路攻擊,而這是值得台灣企業注意的警訊。

* 2022 年 3 月日本汽車零件大廠電裝公司(DENSO) 遭 Pandora勒索軟體攻擊

* 2022 年 3 月豐田的重要零部件供應商小島工業受到網路攻擊,最終導致豐田全國工廠必須停工。

* 2022 年 3 月三桜工業遭Conti勒索軟體攻擊毒手

*日本的輪胎製商普利司通在2月28日公佈,旗下普利司通美洲(Bridgestone Americas)遭到網路攻擊

*2021年2 月底環球晶旗下GlobalWafers Japan遭新型勒索組織Pandora,被盜1Tb數據

*2021年12 月底日本的東京コンピュータサービス(東京計算機服務株式會社)的企業網路遭Night Sky勒索軟體的攻擊

*Olympus的歐洲分公司在2021年9月份遭到BlackMatter勒索軟體攻擊10月份其美洲分公司又被網攻。

*2021年9月底,日本跨國電子企業JVC KENWOOD遭Conti入侵, 1.5TB 數據被竊,並遭勒索700 萬美元

*2021年6月,日本富士軟片 (FUJIFILM )為對抗潛在的勒索軟體攻擊,關閉系統,斷開與外部連線

*2021年5月,日本富士通(Fujitsu)的ProjectWEB平台經非法第三方存取,造成政府機構的數據外洩,包含日本外交部,交通部,內閣網路安全中心,和成田機場等現已經暫停使用該平台。

有關Conti勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

fa13f5a811e591c79f3207500604455879f34edf6ace61d5e34d54c3a5e8af64

ef2cd9ded5532af231e0990feaf2df8fd79dc63f7a677192e17b89ef4adb7dd2

f0278073fc7f61f547b0580522abc519630041e41782f86af1113ad0242f2da0

f092b985b75a702c784f0936ce892595b91d025b26f3387a712b76dcc3a4bc81

e64e350861b86d4e05668bc25e6c952880f6b39ca921496ccce1487dbf6acab6

SHA 1:

de2569f4f8591fb7d56af7165360811f7a2858ff

b96d0b726e1a2ff46847db035599291b8423aff4

cfdd6e3a69b12d43af94cb0441db3e1ef93f74f8

b374eb643b20e47cd9c45811c09e4e73b5871506

駭客劫持未修補的 Exchange伺服器上的電郵,植入惡意的回覆內容來傳播惡意軟體IcedID

研究人員發現了一個新的釣魚郵件活動,該活動旨在劫持的電子郵件的回覆內容 (Email Thread Hijacking) 並植入難以發現的惡意payload,瞄準未修補和暴露網路上Microsoft Exchange伺服器,將用於資料竊取的IcedID惡意軟體傳送到受感染的機器上。

IcedID 是一種模組化銀行木馬,於 2017 年首次被發現,已發展成為駭客建立切入點,用於部署第二階段的惡意軟體,例如勒索軟體或Cobalt Strike工具。IcedID使攻擊者能連接到遠端伺服器並下載下一階段的植入程式和工具,使駭客能執行後續活動並在受影響的網路中橫向移動,以投放其他的惡意軟體。根據以色列資安公司Intezer週一(3/28) 發布的報告,此次活動針對以前的被盜電子郵件並偽造回覆,以用作說服收件者打開附件,值得注意的是,在3 月中旬檢測到的最新一波攻擊瞄準了能源、醫療保健、法律和製藥領域的組織。

Photo Credit: Intezer

攻擊是如何發生

據悉,雖然早期的 IcedID 活動利用網站聯繫表格(Website Contact Form)向組織發送帶有惡意軟體的鏈結,但此次活動的攻擊在易受攻擊的 Microsoft Exchange伺服器上從被劫持的帳號發送誘騙電子郵件,這表明社交工程攻擊的進一步發展。Intezer的研究人員Joakim Kennedy和Ryan Robinson說,payloads也已經從使用Office檔轉向使用帶有Windows LNK檔和DLL檔的ISO檔案,使用ISO檔案允許威脅行為者繞過Web標記控制,導致惡意軟體的執行而不會向使用者發出警告。

研究人員觀察到攻擊中使用的釣魚郵件帶有誘騙的警告,警告用戶在最近的合約中有未處理的付款,並指向附件中的法律文件,攻擊者在這些電子郵件中利用對話劫持,使用合法的、受感染的電子郵件並將自己插入現有對話中,使釣魚攻擊更具說服力,最終使用戶難以檢測到。

據悉,附件的 zip存檔文件受密碼保護,密碼在電子郵件中給出。存檔包含一個 ISO 檔案。當受害者點擊該檔案時,它會使用regsvr32.exe來執行一個 DLL 檔案,研究人員稱這是一種通過允許proxy執行 main.dll 的惡意程式碼來實現防禦規避的技術。

誰是新的 IcedID活動的幕後黑手?

雖然 Intezer 沒有在 IcedID 活動與網路犯罪組織TA551 的之間直接聯繫起來,但分析報告確實提及到 Proofpoint 在2021 年6月的一份報告,該報告強調了網路犯罪組織 TA577 和 TA551 傾向於使用 IcedID 作為其惡意軟體。但Intezer認為這次的活動由TA551發起,因為該組織已知以DDL的二進位檔proxy和受密碼保護的ZIP檔執行regsvr32.exe。

研究人員總結說,對話劫持的使用是一種強大的社交工程技術,可提高網路釣魚的成功率。

有關IcedID的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213

698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2

a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

GIMMICK 是一種新發現的 macOS 植入載體(Implant),由中國國家級駭客組織Storm Cloud 開發,用於針對亞洲各地的組織。2021 年末,資安公司Volexity 研究員調查了他們正在監控的環境中的一次入侵,並發現了有執行 macOS 11.6 (Big Sur) 的作業系統的MacBook Pro,被一種被追踪為GIMMICK的惡意程式感染。研究人員解釋說,他們在過去的調查中發現了相同植入載體,但都是針對Windows版本的電腦而來,專家們並將此次針對macOS用戶的攻擊歸因於中國國家級駭客Storm Cloud,Storm Cloud被認為是一組進階且多才多藝的駭客組織,擅長調整其工具集以匹配其目標使用的不同操作系統。

Photo Credit: Volexity

macOS版的惡意軟體GIMMICK主要使用 Objective C 編寫,而Windows版本則同時使用 .NET 和 Delphi編寫。但兩者使用的C2架構、檔案路徑、攻擊模式相同,且濫用 C2 的公有雲託管服務(例如 Google Drive)來逃避檢測。部署後,GIMMICK可以作為守護程式啟動,也可以以客製化應用程式的形式啟動,並旨在模擬目標用戶經常啟動的程式。該惡意軟體被配置為僅在工作日與其基於 Google Drive 的 C2 伺服器進行通信,以進一步融入目標環境中的網路流量。

更重要的是,後門除了從C2伺服器檢索任意檔案和執行命令外,還具有自我解除安裝功能,使其能夠從受感染的機器中自我刪除。

為了保護用戶免受惡意軟體的侵害,Apple 已於2022 年 3 月 17 日為其內置的反惡意軟體保護套件 XProtect發布了新特徵碼,以通過其惡意軟體刪除工具(Malware Removal Tool – MRT)攔截和刪除感染。

研究員總結分析說,將這種惡意軟體移植並使其系統適應新的操作系統 (macOS) 所涉及的開發並非易事,這表明其惡意軟體的背後參與者資源充足、熟練且多才多藝。

有關GIMMICK的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f

SHA 1:

fe3a3e65b86d2b07654f9a6104c8cb392c88b7e8

MD5:

943c3743f72f06e58e60fa147481db83

華碩設備成為了俄羅斯國家級駭客的目標?!華碩針對Cyclops Blink惡意軟體攻擊其路由器產品發出警告!

一項的新研究發現,華碩設備成為了俄羅斯國家級駭客製作的Cyclops Blink殭屍網路的目標,專家至少從 2019 年 6 月開始觀察到 Cyclops Blink 殭屍網路的存在,認為Cyclops Blink和俄羅斯國家駭客組織Sandworm或Voodoo Bear有關,根據英國國家網路安全中心 (NCSC) 進行的分析,Cyclops Blink 是一種進階模組化的殭屍網路,擁有150多個C&C伺服器組成的龐大網路,英國和美國政府在 2 月下旬提出警告,表示網路安全供應商 WatchGuard 的設備受到攻擊並被用作殭屍網路基礎設施。今根據Trend Micro研究報告,Cyclops Blink瞄準並感染華碩的路由器,利用命令及控制(Command and Control,CnC)的攻擊基本元素感染受害者並將他們帶入更大的殭屍網路,Cyclops Blink 的作用是為設備上的威脅參與者建立持久性,使駭客能遠端控制受感染的網路。

用於寫入快閃記憶體的模組程式碼 Photo Credit: Trend Micro

Trend Micro警告說,該惡意軟體具有一個專門針對多個華碩路由器的模組,允許惡意軟體讀取快閃記憶體(Flash Memory)以收集有關關鍵檔案、可執行檔案、數據庫的資料,然後惡意軟體會接收到嵌套在快閃記憶體中並建立永久持久性(persistence)的命令,即使恢復設定(factory reset)也不會擦除該存儲空間。

華碩在 3 月 17 日發布的安全公告中,表示它確認有多個路由器型號容易受到與俄羅斯有關Cyclops Blink 惡意軟體的威脅,目前正在調查並致力於修補,該公告還包括受影響的路由器清單以及建議的緩解措施。WatchGuard 在 2 月份亦發布了類似的公告。

華碩受影響的產品清單如下:

GT-AC5300 firmware under 3.0.0.4.386.xxxx

GT-AC2900 firmware under 3.0.0.4.386.xxxx

RT-AC5300 firmware under 3.0.0.4.386.xxxx

RT-AC88U firmware under 3.0.0.4.386.xxxx

RT-AC3100 firmware under 3.0.0.4.386.xxxx

RT-AC86U firmware under 3.0.0.4.386.xxxx

RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx

RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx

RT-AC3200 firmware under 3.0.0.4.386.xxxx

RT-AC2900 firmware under 3.0.0.4.386.xxxx

RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx

RT-AC87U (EOL)

RT-AC66U (EOL)

RT-AC56U (EOL)

目前,華碩尚未發布新的韌體更新以防止Cyclops Blink,但已發布以下可用於保護設備的緩解措施:

*將設備重置為出廠default設定:登錄 Web GUI,進入管理 → 恢復/保存/上傳設置,點擊“初始化所有設定並清除所有數據日誌”,然後點擊“恢復”按鈕。

*更新到最新的可用韌體。

*確保default 管理員密碼已更改為更安全的密碼。

*關閉遠端管理(預設為關閉,只能通過進階設定啟用)。

*如果您使用停產的三種型號中的任何一種,請注意這些型號不再受支援,因此不會收到韌體安全更新。在這種情況下,建議您更換新設備。

有關Cyclops Blink的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

ccae8f66ef880ac02b9affdeaca07a7ddb9428b4f683fd55b35ea3ec20ead5ca

7923585e8e6117eb6b3fb4a12871bc31b81d54a7ed297927bf72715c45c41da6

IPv4: 96.80.68.197

IPv4: 96.80.68.196