2022/03/23

Cyclops Blink ボットネットに関する脅威インテリジェンス

2022 年 3 月 23 日 Corey Nachreiner 著

情報セキュリティコミュニティにおいて脅威インテリジェンスを共有することは、安全、かつ適切な方法で行われるのであれば非常に重要です。それは、既知の脅威からの防御に直接役立つだけでなく、実環境で発見された攻撃をもとに、検知と防御の戦略を適切に調整するのにも役立ちます。さて、以上を念頭に、2022 年 2 月 23 日に政府合同勧告で公開され、複数の組織のデバイスが影響を受けていることが判明した Cyclops Blink(CB)ボットネットについて、ウォッチガードが確認した追加の IoC(セキュリティ侵害の痕跡情報)をいくつか紹介します。

英国政府通信本部(GCHQ)のナショナルサイバーセキュリティセンター(NCSC)は、PowerPC サンプルの 1 つを対象とした Cyclops Blink マルウェアの技術的な分析を発表し、基本的なデフォルトのマルウェアに対応して IoC の一部を共有しています。またウォッチガードチームは、このマルウェアの他のサンプルや追加のアドオンモジュールを発見しています。ウォッチガードの脅威ラボは、近いうちに追加の調査情報を含む技術分析レポートを公開する予定です。それまでは、以下の Cyclops Blink による追加サンプル IoC をご参照ください。これらは、Virus Total などの一般的な業界脅威情報共有サイトにも提出しています。この情報が、脅威の検出と防止、および学習に役立つことを願っています。Cyclops Blink に関するウォッチガードの更なる情報をご希望の方は、当社のコーポレートブログをご覧ください。

Cyclops Blink の IoC:

Cyclops Blink に関連するハッシュ(SHA 256)

  • 一般的な被害者における CPD バイナリ
    • PowerPC (PPC) のバリエーション
      • 4ec5e0c5dccc5891d39ea76e3c3d3e26d8830d7aa4d63db6084dbfbec6f0d211
      • 88e568afd69fbc944a8d8268e41f2f6100e8bb007083175884ea4149033f4fcf
      • 6f4ee4e05483ca3db54040506ac21a2b49d2bd12379cafad54764907be228556
      • fc1e50172c0ce221452b967d1ef705f11bbfe2d54c533d68bd2a7a094605df2d
    • Intel (x86) のバリエーション
      • 82c3f5092d45ce0e19ac42adaf6632b954b8e78d399f673724956a89c1826d7b
      • 145bf0e879d544a17364c53e1e695adab8e927fe196cc0d21ad14be3e2cb469f
      • d186f553ad6b38951fdebabfe7ecb4ca6d86ac702a9e8c90a338ad668afdf490
      • 3830213049d64b09f637563faa470b0f2edd0034aa9e92f7908374bd1d6df116
      • cc3d51578a9dcc7e955061881490e54883904956f5ca5ee2918cd3b249415e59
  • C2 被害者の CPD バイナリ
    • PowerPC (PPC) のバリエーション
      • 36b3a9dcb283fb0f9fd45f4a371006228d206ec0bdd9e3392eb2d07e72f8d7b0
      • 1454338b1bbb692dadb90c758ba8789f56c48dd52f9f94b6dc6784f0944e20f9
  • 関連の悪意のあるスクリプト
    • f8e163be68e073f2a15b8986b0792c703fb712c92229806463817c5bc73677cd
    • 58f0da449724017438dcf8c7a4fba176a8f44865673dd696b48bb32799b9e9cc
    • 7d906fd3147b6746aec64d64b7c9a251ac6a1c988778a2bf0bb7845b232d104a

Cyclops Blink の IP アドレス

  • Command and Control (C2) のIPアドレス
    • Cyclops Blink の C2 インフラは顧客の Firebox を使用しており、その多くについて現在修復を行っています。これらの IP アドレスをブロックすると顧客までブロックされる可能性があり、現在これらの IP アドレスは共有していません。しかし、Cyclops Blink の攻撃者に関連する他の IP アドレスについては公開しています。
  • Cyclops Blink 脅威要因が使用する Tor 出口ノード
    • 128.248.14
    • 31.49.73
    • 153.160.2
    • 153.160.131
    • 153.160.138
    • 219.236.228
    • 95.230.253
    • 142.241.194
    • 189.10.237
    • 189.12.135
    • 70.100.20
    • 70.100.78
    • 100.87.202
    • 107.70.56
    • 193.52.180
    • 195.71.244
    • 220.100.243
    • 220.100.245
    • 220.100.251
    • 220.100.252
    • 220.101.9
    • 220.101.12
    • 220.101.32
    • 220.101.48
    • 220.101.67
    • 220.101.71
    • 220.101.73
    • 220.101.132
    • 220.101.140
    • 220.101.141
    • 220.101.154
    • 220.101.165
    • 220.101.167
    • 220.101.168
    • 220.102.245