華碩設備成為了俄羅斯國家級駭客的目標?!華碩針對Cyclops Blink惡意軟體攻擊其路由器產品發出警告!

一項的新研究發現,華碩設備成為了俄羅斯國家級駭客製作的Cyclops Blink殭屍網路的目標,專家至少從 2019 年 6 月開始觀察到 Cyclops Blink 殭屍網路的存在,認為Cyclops Blink和俄羅斯國家駭客組織Sandworm或Voodoo Bear有關,根據英國國家網路安全中心 (NCSC) 進行的分析,Cyclops Blink 是一種進階模組化的殭屍網路,擁有150多個C&C伺服器組成的龐大網路,英國和美國政府在 2 月下旬提出警告,表示網路安全供應商 WatchGuard 的設備受到攻擊並被用作殭屍網路基礎設施。今根據Trend Micro研究報告,Cyclops Blink瞄準並感染華碩的路由器,利用命令及控制(Command and Control,CnC)的攻擊基本元素感染受害者並將他們帶入更大的殭屍網路,Cyclops Blink 的作用是為設備上的威脅參與者建立持久性,使駭客能遠端控制受感染的網路。

用於寫入快閃記憶體的模組程式碼 Photo Credit: Trend Micro

Trend Micro警告說,該惡意軟體具有一個專門針對多個華碩路由器的模組,允許惡意軟體讀取快閃記憶體(Flash Memory)以收集有關關鍵檔案、可執行檔案、數據庫的資料,然後惡意軟體會接收到嵌套在快閃記憶體中並建立永久持久性(persistence)的命令,即使恢復設定(factory reset)也不會擦除該存儲空間。

華碩在 3 月 17 日發布的安全公告中,表示它確認有多個路由器型號容易受到與俄羅斯有關Cyclops Blink 惡意軟體的威脅,目前正在調查並致力於修補,該公告還包括受影響的路由器清單以及建議的緩解措施。WatchGuard 在 2 月份亦發布了類似的公告。

華碩受影響的產品清單如下:

GT-AC5300 firmware under 3.0.0.4.386.xxxx

GT-AC2900 firmware under 3.0.0.4.386.xxxx

RT-AC5300 firmware under 3.0.0.4.386.xxxx

RT-AC88U firmware under 3.0.0.4.386.xxxx

RT-AC3100 firmware under 3.0.0.4.386.xxxx

RT-AC86U firmware under 3.0.0.4.386.xxxx

RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx

RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx

RT-AC3200 firmware under 3.0.0.4.386.xxxx

RT-AC2900 firmware under 3.0.0.4.386.xxxx

RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx

RT-AC87U (EOL)

RT-AC66U (EOL)

RT-AC56U (EOL)

目前,華碩尚未發布新的韌體更新以防止Cyclops Blink,但已發布以下可用於保護設備的緩解措施:

*將設備重置為出廠default設定:登錄 Web GUI,進入管理 → 恢復/保存/上傳設置,點擊“初始化所有設定並清除所有數據日誌”,然後點擊“恢復”按鈕。

*更新到最新的可用韌體。

*確保default 管理員密碼已更改為更安全的密碼。

*關閉遠端管理(預設為關閉,只能通過進階設定啟用)。

*如果您使用停產的三種型號中的任何一種,請注意這些型號不再受支援,因此不會收到韌體安全更新。在這種情況下,建議您更換新設備。

有關Cyclops Blink的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

ccae8f66ef880ac02b9affdeaca07a7ddb9428b4f683fd55b35ea3ec20ead5ca

7923585e8e6117eb6b3fb4a12871bc31b81d54a7ed297927bf72715c45c41da6

IPv4: 96.80.68.197

IPv4: 96.80.68.196

沈寂一年多的FritzFrog殭屍網路今再度回歸,鎖定醫療、教育和政府部門發動攻擊

一個大型殭屍網路重新浮出水面,並準備對世界各地的系統造成損害,根據Akamai 的研究人員表示,在低調 16 個月後,被稱為 FritzFrog 的殭屍網路又度回歸,擁有新的功能及比以往更高的傳播力,大幅度的感染受害機器,據悉其傳播力增長了約10 倍之多, 並以攻擊醫療保健、教育和政府系統為目標。

FritzFrog是一個採用點對點(P2P) 網路的設計,不需仰賴 C&C 伺服器,以Golang語言編寫的殭屍網路,FritzFrog於 2020 年 8 月由 Guardicore首次記錄,說明了該殭屍網路自當年 1 月以來攻擊和感染橫跨歐洲和美國的 500 多台伺服器的能力,當時也發現,大量感染機器集中在中國。但由於不明原因,

FritzFrog殭屍網路的活動在當年年底突然間停止。

在今天一份最新的報告中,Akamai 表示,FritzFrog現在已經全面回歸,改進了程式碼和發起的攻擊比比2020 年時更加激烈,雖然FritzFrog仍然依靠SSH暴力攻擊來感染新系統,並且仍然使用點對點(P2P)架構來控制受感染的主機,但也進行了一些改進,例如:

*增加對Tor的 proxy網路的支援以掩蓋暴力攻擊

*使用SCP協定將自己複製到入侵系統內

*合併黑名單系統以排除某些伺服器免受感染

*以及添加程式碼,以殭屍網路攻擊WordPress網站等。

另外,一旦伺服器被FritzFrog感染,攻擊者將使用存取權限來挖礦門羅幣(Monero)加密貨幣。Akamai 表示,在這一波攻擊中其系統已檢測到 24,000 次攻擊,目前每天發生大約 500 起與 FritzFrog 相關的事件,並已確認有1,500 多個系統受FritzFrog殭屍網路感染了。Akamai進一步說,受感染的系統是來自屬於各種規模和部門的組織的伺服器,包括在歐洲的電視頻道網路、俄羅斯醫療設備製造商和東亞的多所大學中發現了受感染的機器。

Akamai 補充說,大約 37% 的受感染節點位於中國,但受害者也分佈在世界各地,表明這種傳播是隨機的。另根據研究人員發現的其他線索,他們目前認為 操作FritzFrog殭屍網路的駭客組織可能位於中國或試圖偽裝成居住在中國。

請參考以下防禦技巧來保護系統;

*啟用帶有警報的系統登錄審核

*監控 Linux 上authorized_hosts 的檔案

*配置顯式 SSH 登錄的允許清單

*禁用 root SSH存取

*啟用基於雲的 DNS 保護,以阻止威脅和不相關的業務應用程式(如加密貨幣挖礦設置為阻擋)

有關FritzFrog殭屍網路的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://192.115.164.0

IPv4:

98.14.171.84

96.57.208.2

Domain:

files.md

SHA 256:

f453c851e560a80d90cd16e9f6106f63bb5fa379475ddeb2bd7f47bd17e8ae59

e12c8e17fce9af1ace54d3569fb8adb12aa9950c68cc1329a2977ded9050b87f

d9e8d9187fdd5a6682cc3b55076fe48bc8743487eb4731f669a7d591d3015ce5

d1e82d4a37959a9e6b661e31b8c8c6d2813c93ac92508a2771b2491b04ea2485

bb567e390df119c84eb8687bf260bb746c713d1d37f787e78f04ff5b4ccb3807

985ffee662969825146d1b465d068ea4f5f01990d13827511415fd497cf9db86

SHA1:

f93772038406f28fa4ca1cfb23349193562414b2

f3aff7e1c44d21508eb60797211570c84a53597a

ee5db9590090efd5549e1c17ec1ee956ef1ed3d1

da090fd76b2d92320cf7e55666bb5bd8f50796c9

d7df26bf57530c0475247b0f3335e5d19d9cb30d