Pipedream/INCONTROLLER Erkennung: Neues Angriffs-Framework und Werkzeuge zielen auf industrielle Steuerungssysteme ab

Die US-Regierungsbehörden – CISA, FBI, NSA und das Energieministerium – zusammen mit mehreren Unternehmensteams von Cybersicherheitsforschern haben Alarm wegen landesweiter Bedrohungen für industrielle Kontrollsysteme (ICS) geschlagen. Laut den Sicherheitsforschern nutzen APT-Akteure ein zerstörerisches Werkzeugset, um nach der ersten Zugang zu einem Betriebstechnologie (OT)-Netzwerk die angegriffenen Maschinen zu übernehmen. Diese Angriffe haben das Potenzial, die etablierten Prozesse zu sabotieren und zu stören, was zu physischen Kompromissen führen kann.

Die Forscher verbinden die ICS-spezifische Malware INCONTROLLER und Pipedream mit Russland-verknüpften Bedrohungsakteuren.

Pipedream/INCONTROLLER ICS Malware-Erkennung

Für eine mühelose Erkennung von Pipedream/INCONTROLLER ICS Malware nutzen Sie den folgenden Bedrohungserkennungsinhalt, der von einem erfahrenen Sicherheitsexperten veröffentlicht wurde Sittikorn Sangrattanapitak. Die auf Sigma basierende Regel erkennt verdächtige Dateinamen im Zusammenhang mit der ASRock Motherboard-Treiberverwandten Schwachstelle – CVE-2020-15368. Sie wurde von dem staatlich gesponserten Angriffsframework INCONTROLLER erstellt, das darauf abzielt, ICS anzugreifen, die Windows-basierte Systeme in IT- oder Betriebstechnologie (OT)-Umgebungen ausnutzen:

INCONTROLLER staatlich gesponserte Cyberangriffs-Tools, die industrielle Kontrollsysteme mit Treiberausbeutung anvisieren [CVE-2020-15368] (über file_event)

Diese Erkennung ist für die 22 SIEM-, EDR- und XDR-Plattformen verfügbar, in Übereinstimmung mit dem neuesten MITRE ATT&CK® Framework v.10, adressiert die Taktik der anfänglichen Ausführung mit Benutzer Ausführung (T1204) als primäre Technik.

Verfolgen Sie die Updates zu den Erkennungsinhalten, die sich auf INCONTROLLER beziehen, im Threat Detection Marketplace-Repository der SOC Prime Plattform hier. Die SOC Prime Erkennungsinhaltsbibliothek wird ständig mit neuen Inhalten aktualisiert, gestärkt durch den kollaborativen Cyberabwehransatz und ermöglicht durch das Follow the Sun (FTS) Modell, um die rechtzeitige Bereitstellung von Erkennungen für kritische Bedrohungen sicherzustellen.

Möchten Sie die neuesten Bedrohungen jagen, die Bedrohungsuntersuchung automatisieren und Feedback und Überprüfung von einer Community aus über 20.000 Sicherheitsexperten erhalten? Treten Sie SOC Prime bei, der weltweit ersten Plattform für kollaborative Cyberverteidigung, Bedrohungsjagd und -entdeckung, die sich mit über 25 SIEM-, EDR- und XDR-Plattformen integriert. Haben Sie große Ambitionen in der Cybersicherheit? Nehmen Sie an unserem Threat Bounty Programm teil, entwickeln Sie Ihre eigenen Sigma-Regeln und erhalten Sie wiederkehrende Belohnungen für Ihren wertvollen Beitrag!

Erkennungen anzeigen Threat Bounty beitreten

Pipedream/INCONTROLLER ICS Malware-Analyse

Ein gemeinsames Cybersicherheitsberatung von CISA, FBI, NSA und dem US-Energieministerium, veröffentlicht am 13. April 2022, beschreibt mehrere ICS-spezifische Angriffe sowie die Versuche von APT-Akteuren, die Kontroll- und Datenerfassungsgeräte (SCADA) zu übernehmen, wie z. B. von Schneider Electric und OMRON (Sysmac NJ und NX Geräte) freigegebene programmierbare Steuerungen (PLCs) sowie das Angreifen von Open Platform Communications Unified Architecture (OPC UA) Servern.

Das Cybersicherheitsunternehmen Dragos hat seine Stellungnahme zu den betreffenden Angriffen veröffentlicht und die genutzte Malware als Pipedream (das auf einen ATP Chernovite zurückverfolgt wird) bezeichnet, während sich Mandiant auf das als INCONTROLLERgetaufte Werkzeugset konzentrierte. Pipedream/INCONTROLLER ICS Malware ermöglicht es Gegnern, ICS- und SCADA-Geräte zu scannen und volle Kontrolle über befallene Maschinen zu erlangen, sobald der erste Zugang zum Betriebstechnologie (OT)-Netzwerk erfolgreich erreicht ist. Darüber hinaus erlauben die Komponenten des Angriffsframeworks die Ausnutzung einer Schwachstelle im ASRock RGB-Treiber, getrackt als CVE-2020-15368 (siehe die auf Sigma basierende Regel oben). INCONTROLLER selbst ist eine Zusammensetzung von drei ICS-Tools mit unterschiedlichen Fähigkeiten: TAGRUN, CODECALL und OMSHELL. Die oben genannten INCONTROLLER-Komponenten werden in verschiedenen Phasen eines Angriffs verwendet.

INCONTROLLER-Angriffsszenarien lassen Vergleiche mit den Malware-Stämmen Triton, Student und Industroyer zu. Forscher warnen, dass angesichts der aktuellen Ereignisse, d. h. der russischen Invasion in der Ukraine, die Malware INCONTROLLER und Pipedream eine alarmierende Fähigkeit haben, viele kritische Infrastrukturen zu gefährden, indem sie industrielle Prozesse der Ukraine und anderer Länder, die sich der russischen Aggression widersetzen, sabotieren. Zum Beispiel hat die neueste Probe der berüchtigten Industroyer-Malware-Familie mit dem Tag Industroyer2, kürzlich Schlagzeilen gemacht, mit den Sandworm APT-Gruppenbetreibern hinter dem Angriff, der das ukrainische Stromnetz lahmlegte.

Die Forscher betonen, dass die meisten von INCONTROLLER betroffenen Geräte mit automatisierten Maschinen integriert und oft ein unauffälliger Teil industrieller Abläufe sind. Das volle Ausmaß der Konsequenzen muss noch entdeckt werden.

In schwierigen Zeiten vertrauen Sie auf bewährte Werkzeuge und Ressourcen, um sicherzustellen, dass Ihr System kein leichtes Ziel für Cyberkriminelle ist. Stehen Sie zusammen mit SOC Prime für eine sicherere Zukunft. Melden Sie sich kostenlos bei SOC Primes Detection as Code Plattform an, um Ihre SOC-Operationen mit bewährten Praktiken und geteiltem Fachwissen zu optimieren.