Dragos’tan araştırmacılar, olağan güvenlik açığı değerlendirmeleri sırasında endüstri mühendislerini ve operatörleri hedef alan daha küçük ölçekli bir teknik keşfetti.
Uzmanlar, tehdit aktörlerinin Programmable Logic Controller (PLC), İnsan-Makine Arayüzü (HMI) ve proje dosyaları için şifre kırma yazılımının reklamını yapmak için çeşitli sosyal medya platformlarında birden fazla hesap kullandığını söylüyor.
Dragos’tan uzmanlar, Automation Direct’ten DirectLogic PLC’leri etkileyen senaryoyu inceledi ve ‘kırma yazılımının’ parolayı çıkarmak için cihazdaki bilinen bir güvenlik açığından yararlandığını buldu.
“Bu istismarın, popüler istismar çerçevelerinde tarihsel olarak görüldüğü gibi şifrenin şifreli bir versiyonunu kırmadığı bulundu. Bunun yerine, kötü amaçlı yazılım düşürücü tarafından bir COM bağlantı noktasına belirli bir bayt dizisi gönderilir”, diyor Dragos.
Kötü amaçlı yazılım, kullanıcının bir Mühendislik İş İstasyonundan (EWS) PLC’ye doğrudan seri bağlantıya sahip olmasını gerektiren istismarın yalnızca seri sürümünü içerir. Bu güvenlik açığı (CVE-2022-2003) olarak izlenir ve sorumlu bir şekilde Automation Direct’e ifşa edilmiştir.
Sality Kötü Amaçlı Yazılım
Sality, yürütülebilir dosyalara bulaşan eski, büyük bir virüs ailesini ifade eder. Modern Sality varyantları, diğer şeylerin yanı sıra bir arka kapı görevi görebilir ve virüslü makineleri bir botnet’e bağlayabilir.
Sality, şifre kırma ve kripto para madenciliği gibi dağıtılmış bilgi işlem görevleri için eşler arası bir botnettir. Bir Sality enfeksiyonu, bilinmeyen bir düşman tarafından bir EWS’ye uzaktan erişim riskini alabilir.
Ana bilgisayarda kalıcılığı korumak için işlem enjeksiyonu ve dosya enfeksiyonu kullanır. Kendi kopyalarını Evrensel Seri Veri Yolu (USB), ağ paylaşımları ve harici depolama sürücüleri üzerinden yaymak için Windows’un otomatik çalıştırma işlevini kötüye kullanır.
Dragos uzmanları, para transferi yapmak isteyen kullanıcılardan kripto para çalmanın etkili bir yolu olduğunu ve düşmanın finansal olarak motive olduğuna dair güvenimizi artırdığını söylüyor. Sality kötü amaçlı yazılımı, algılanmayı önlemek için bir çekirdek sürücüsü kullanır, ayrıca potansiyel güvenlik ürünleriyle ilişkili süreçleri tanımlamak ve onları öldürmek için bir hizmet başlatır.
Bu nedenle, “Dragos yalnızca DirectLogic hedefli kötü amaçlı yazılımı test etti. Ancak, diğer birkaç örneğin ilk dinamik analizi, bunların da kötü amaçlı yazılım içerdiğini gösteriyor. Birkaç web sitesi ve birden fazla sosyal medya hesabı, şifrelerini “kırıcılar” olarak ilan ediyor.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.