官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近期黑客在工业领域发起了新的网络攻击活动,工程师和系统操作员正成为和他们的攻击目标。此次攻击活动利用密码破解器软件获取可编程逻辑控制设备(PLC)的权限,并让其成为“肉鸡”,加入僵尸网络。
Dragos 安全研究员 Sam Hanson说:“该软件利用了固件中的一个漏洞,使其能够根据命令检索密码。此外,该软件是一个恶意软件植入程序,利用Sality恶意软件感染设备,并将主机变成 Sality对等僵尸网络中的对等节点。”
这家工业网络安全公司表示,嵌在恶意软件释放器中的密码检索漏洞旨在恢复与 Automation Direct-DirectLOGIC 06 PLC相关的凭证。
该漏洞编号为 CVE-2022-2003(CVSS 分数:7.7),被称为敏感数据的明文传输案例,可能导致信息泄露和未授权更改。该漏洞已在上个月发布的固件版本 2.72 中得到修复。
感染设备的关键点是部署Sality恶意软件,以分布式方式执行加密货币挖掘和密码破解等任务,同时还通过关闭感染系统中运行的安全软件的方式以免被发现。
更重要的是,Dragos 发现其网络工件遗留了一个加密剪辑器有效负载,通过将保存在剪贴板中的原始钱包地址替换为攻击者的钱包地址,该有效负载可以窃取交易期间的加密货币。
Automation Direct不是唯一受影响的供应商。据说,该工具覆盖多个PLC、HMI、人机界面 ( HMI ) ,涉及欧姆龙、西门子、ABB Codesys、台达自动化产品、富士电机、三菱电机、施耐德电气Pro-face的项目文件、Vigor PLC、威纶、罗克韦尔自动化的 Allen-Bradley、松下、永宏电机、IDEC 企业和LG众多企业。
这远非木马软件第一次选中运营技术 (OT) 网络。2021 年 10 月,Mandiant披露了 Sality、Virut 和 Ramnit 等各种恶意软件如何感染合法的可移植可执行的二进制文件。
参考链接
https://thehackernews.com/2022/07/hackers-distributing-password-cracking.html