Ukrayna’daki kritik altyapıyı bozmak için Modbus TCP’den yararlanan, hem iç hem de dış saldırılar gerçekleştirebilen, yeni keşfedilen OT merkezli bir kötü amaçlı yazılım olan FrostyGoop, endüstriyel kontrol sistemi (ICS) cihazlarını hedef alıyor.
Analiz, bu tehditle ilişkili ek örnekleri, yapılandırma dosyalarını ve ağ iletişim modellerini ortaya çıkardığında FrostyGoop, kötü amaçlı Modbus komutları göndererek çevreye fiziksel zarar verebilir.
Görünüşü, operasyonel teknolojiye sahip kötü amaçlı yazılımlara ilişkin artan endişeyi ve bunun gerçek dünyada önemli etkilere sahip olma potansiyelini gün ışığına çıkarıyor.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Yeni keşfedilen ICS merkezli bir kötü amaçlı yazılım, kritik altyapı cihazlarını hedeflemek için Modbus TCP’den yararlanıyor; burada saldırganlar, Modbus cihazlarında belirli işlemleri yürütmek üzere yapılandırılabilen kötü amaçlı yazılımı dağıtmak için MikroTik yönlendiricideki bir güvenlik açığından yararlanıyor.
Kötü amaçlı yazılımın, belirsiz bir Modbus uygulaması, JSON yapılandırması ve Goccy’nin go-json kitaplığı kullanımı dahil olmak üzere benzersiz özellikleri, tespit edilmesini ve analiz edilmesini sağlar.
Hata ayıklayıcıdan kaçınma tekniğinin uygulanması, sahip olduğu gelişmişlik düzeyinin yanı sıra olumsuz uygulama potansiyelini de gösterir.
Analiz, ayrı bir dosyada saklanan 32 baytlık bir anahtar oluşturan, AES-CFB şifrelemesini kullanarak JSON dosyalarını şifrelemek ve şifresini çözmek için tasarlanmış Go tabanlı bir yürütülebilir dosya olan go-encrypt.exe’yi ortaya çıkardı.
FrostyGoop saldırısına doğrudan katılımı belirsiz olsa da, geçici görünümü ve FrostyGoop’un JSON dosya şifrelemesiyle uyumu, saldırganların JSON dosyalarındaki hassas bilgileri gizlemek için potansiyel olarak kullanıldığını gösteriyor.
İlk olarak Ekim 2023’te görülen FrostyGoop kötü amaçlı yazılımı, cihazlara erişmek ve Modbus işlemlerini yürütmek için savunmasız Telnet bağlantı noktalarından yararlanarak başta Romanya ve Ukrayna’daki ENCO kontrol cihazlarını hedef alıyor.
Genellikle eski WR740N yönlendiricileri kullanan hedeflenen ENCO cihazları, potansiyel güvenlik açıkları nedeniyle ek güvenlik riskleri oluşturur; bu da endüstriyel kontrol sistemlerinin güvenliğinin sağlanması ve eski altyapının ele alınmasına yönelik kritik ihtiyacın altını çizer.
FrostyGoop örnekleri, birincil işlevi, görev_test.json yapılandırmasında tanımlandığı gibi, işlev kodu 3’ü kullanarak tutma kayıtlarını okumak olan bağlantı noktası 502 üzerinden cihazlarla etkileşim kurmak için öncelikle Modbus TCP protokolünü kullanır.
Okunan kayıtların sayısı, konfigürasyondaki kelime sayısı değeri ile belirlenirken, örnekler ayrıca sırasıyla 6 ve 16 fonksiyon kodlarını kullanarak tekli veya çoklu kayıtlara yazma işlemleri de gerçekleştirebilir.
ICS/OT cihazlarına ve kritik altyapıya yönelik son siber saldırılar, OT ortamlarının savunmasızlığını ortaya çıkardı.
Ukrayna, Romanya, İsrail, Çin, Rusya ve ABD gibi ülkeler saldırılarla karşı karşıya kaldı ve bu da daha güçlü siber güvenlik önlemlerine duyulan ihtiyacın altını çizdi.
Palo Alto Networks’e göre OT ve BT ağlarının entegrasyonu yeni saldırı vektörleri yaratırken FrostyGoop gibi CS merkezli kötü amaçlı yazılımların yükselişi tehdidi daha da artırıyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin