HackerNews 编译,转载请注明出处:
Forescout的分析发现,针对工业控制系统(ICS)的新型恶意软件攻击能够导致工程流程崩溃。
研究人员识别出从2024年8月至11月,攻击三菱和西门子工程工作站的两种恶意软件攻击,并在VirusTotal数据库中列出。
这些恶意软件分别是针对三菱工作站的Ramnit蠕虫和针对西门子工作站的新型实验性恶意软件Chaya_003。
Chaya_003展现出了终止工程流程的能力。
研究人员发现,攻击者使用了合法服务作为指挥与控制(C2)手段,使得威胁检测变得更加困难。
工程工作站是运行传统操作系统(如Windows)并同时运行由设备制造商提供的专用工程软件的标准计算机。这些软件对于在操作技术(OT)和ICS环境中对现场设备(如可编程逻辑控制器PLC)进行调试和编程至关重要。
Forescout引用了SANS研究所的最新研究,发现工程工作站的被攻击事件占OT/ICS系统事件的20%以上,促使他们进行了这项新分析。
研究人员将他们的调查重点放在了VirusTotal上传的两类数据上:标记为恶意的软件工程可执行文件和可能与工程软件互动的恶意文件。
Forescout发现了两个Ramnit集群攻击三菱工作站的情况。
Ramnit最早出现在2010年,作为一种银行木马,旨在窃取凭证,后来发展为一个模块化平台,能够从C2服务器下载插件。
该恶意软件可以通过受感染的物理设备(如USB驱动器)或通过被攻破的IT系统网络传播。
研究人员未能确认这两个Ramnit集群是如何感染三菱工程工作站的,但他们认为恶意软件可能将恶意代码添加到合法的Windows可执行文件中,这与自2021年以来在OT软件中观察到的其他Ramnit感染相符。
调查揭示了三个二进制文件,代表了一个名为Chaya_003的恶意软件集群的三个迭代版本。
其中两个二进制文件名为“Isass.exe”和“elsass.exe”,这表明它们故意伪装成合法的系统进程,可能是为了欺骗用户或绕过杀毒软件。
Chaya_003的C2基础设施利用Discord webhooks,并具有系统侦察和进程干扰功能。
所有样本都实现了列举系统进程的功能,检索每个进程的信息并将可执行文件名与预定义列表进行比较。如果进程与列表中的条目匹配,则会被终止。
研究人员观察到“明确的进化模式”,这表明该恶意软件正在不断改进并为更广泛的部署做好准备。
Forescout呼吁工业组织采取措施,提升防御针对工程工作站的攻击。这些措施包括:
- 识别连接到OT网络的所有工作站,并评估其软件版本、开放端口、凭证和端点保护软件。确保所有软件更新到最新版本,并确保端点保护解决方案已启用且保持最新。避免直接将工程工作站暴露于互联网。适当分隔网络,将IT、物联网(IoT)和OT设备隔离开来。限制网络连接,只允许授权的管理和工程工作站连接。
消息来源:Infosecurity Magazine, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
