Tehdit aktörleri, kampanyalarını kaba fidye yazılımı sıçramalarından, bir kuruluşun çok can damgası olan operasyonel teknolojiyi sakatlayabilen hassas mühendislik grevlerine yükseltti.
Olay Yanıtları tarafından “BlackParagon” olarak adlandırılan en son kötü amaçlı yazılım suşu, geçen hafta eşzamanlı kesintilerin üç Asya enerji hizmetinde dalgalanmasının ardından ortaya çıktı.
İlk telemetri, enfeksiyonların bir endüstri ticaret portalının sulama deliği uzlaşmasıyla başladığını gösterir, bu da saldırganlara kurumsal VPN ağ geçitlerinde göze çarpmayan bir dayanak veren bir taktik.
İçeri girdikten sonra, BlackParagon programlanabilir-logic denetleyicilere (PLC’ler) yanal olarak döndü, süreç değişkenlerini yeniden yazdı ve türbinleri çevrimdışı zorladı.
Smash and-grab fidye yazılımlarının aksine, BlackParagon’un yazarları, eski OPC DA ara katman yazılımı ve açılmamış Java serileştirme kusurları için ısmarlama istismarlar hazırlamaya aylar yatırım yaptı.
Bu çift vektörler, kötü amaçlı yazılımların geleneksel kuzey-güney güvenlik duvarlarını açmadan OT ağlarına geçmesine izin verdi.
Paket yakalamalar, meşru tarihçi trafiği olarak maskelenen şifreli KOBİ işaretlerini ortaya çıkarır, sabotaj yüklerinin yürütülmesi için yeterince uzun süre tespiti geciktiren bir hile.
IDSTCH analistleri, her ikili çıkarılabilir bir yükleyici, uyarlanabilir bir navigasyon komut dosyası ve belirli alan aygıtlarını hedefleyen amaca bağlı bir yük yükü ile geldiğini gözlemleyerek, gerginliğin dikkate değer modülerliğine dikkat çekti.
Araştırmacılar saf “tak ve oynat” değiştirilebilirliği belirlediler: Bir istismar yakıldığında, operatörler bir diğerini sıcak bir şekilde karşılayarak genel öldürme zincirini korudular.
Aynı araştırma, derleyici zaman damgalarının ve C2 sertifikalarının daha önce Shadowcell APT’ye atfedilen altyapı ile örtüştüğünü ve yalnız bir aktör yerine iyi kaynaklanmış bir düşman olduğunu gösterdiğini doğruladı.
Kurtarma ekipleri artık basamaklı sonuçlarla yüzleşiyor. Türbin döndürücüler, metropol ızgaralarda yuvarlanan brownuts tetikledi, hastaneleri dizel rezervlerine zorladı ve metro hatlarını durdurdu.
Sigorta kayıpları yüksek yüzlerce milyonda yansıtılmaktadır, ancak daha fazla endişe stratejiktir: orta seviye tehdit gruplarının bile şimdi bir kez devlet cephaneliği için ayrılmış araçlara sahip olduğunun kanıtı.
Enfeksiyon mekanizması maskelenmemiş
İlk damlalığın tersine mühendisliği, BlackParagon’un cerrahi hassasiyetinin altını çiziyor. Montajcı, bellekte yerleşik bir enjektör dikmek için yaygın olarak dağıtılan kenar güvenlik duvarlarında bir kimlik doğrulama-bypass olan CVE-2025-11342’yi kötüye kullanır.
Bu enjektör, yalnızca alana özgü göstergeleri doğruladıktan sonra bir sonraki aşamasını şifresini çözer-solucanın sadece yüksek değerli ortamların içinde aktive olmasını ve nöbetçi kollater enfeksiyonlarını en aza indiren Siemens Step7 koşu saatlerinin varlığı.
/* excerpt decompiled from stage-2 injector */
if (strstr(plcModel, "S7-300") && fwRev >= 5) {
decrypt_payload(key_schedule, encrypted_blob, &payload);
for (int i = 0; i < dll_cnt; ++i) {
LoadLibraryA(linked_dlls[i]); // resolve OT drivers
}
WriteNamedPipe("\\\\.\\pipe\\fieldbus", payload, payload_len);
}Koşullu tetikleyici, Rus veya Çin yerleri tespit edildiğinde infazını askıya alan sert kodlanmış önlemlerle birleştiğinde, kalibre edilmiş, politik olarak seçici bir cephanelik ortaya çıkarır.
Savunucular için, bu bağlama duyarlı mantık imza tabanlı algılamayı boşuna yapar; Sadece derin davranışsal analitik-Fieldbus borularına anormal işlemler arası çağrıları izlemek-uygun bir erken uyarı sağlar.
Kritik altyapı şimdi artı işaretlerinde kare olarak, organizasyonlar bir sonraki karagon varyantı ortaya çıkmadan önce sıfır tröst segmentasyonuna ve sürekli OT seviyesi izlemeye dönmelidir.
Canlı bir ortamda kötü amaçlı yazılımları algılayın. Ücretsiz dene