Pipedream/INCONTROLLER 検出: 産業制御システムをターゲットにした新しい攻撃フレームワークとツール

米国の政府機関 – CISA、FBI、NSA、そしてエネルギー省 – は、サイバーセキュリティ研究者の企業チームと共に、産業制御システム (ICS) に対する全国的な脅威を警告しました。セキュリティ調査員によると、APTアクターは、初期アクセスを運用技術 (OT) ネットワークに確立した後、標的の機械を乗っ取るための破壊的なツールセットを活用しています。これらの攻撃は、確立されたプロセスを妨害し、物理的な妥協を引き起こす潜在的な可能性があります。

研究者たちは、INCONTROLLER と PipedreamのICS特定マルウェアをロシア関連の脅威アクターと結びつけています。

Pipedream/INCONTROLLER ICS マルウェア検出

Pipedream/INCONTROLLER ICS マルウェアを簡単に検出するために、熟練したセキュリティ専門家が提供した以下の脅威検出コンテンツを活用してください。 Sittikorn Sangrattanapitak。Sigmaベースのルールは、ASRockマザーボードドライバ関連のエクスプロイト – CVE-2020-15368 に関連する疑わしいファイル名を検出します。INCONTROLLERが開発した国家支援の攻撃フレームワークで、ITまたは運用技術 (OT) 環境におけるWindowsベースのシステムを狙ったICSを標的にしています：

INCONTROLLER 国家支援のサイバー攻撃ツールはドライバエクスプロイトで産業制御システムを標的にしました [CVE-2020-15368] (file_event経由)

この検出は22のSIEM、EDR＆XDRプラットフォームで利用可能です。 最新のMITRE ATT&CK® フレームワーク v.10 に準拠し、初期実行戦術をアドレッシングし主な技術としてユーザー実行 (T1204) を採用しています。

SOC PrimeプラットフォームのThreat Detection MarketplaceリポジトリにおけるINCONTROLLERに関連する検出コンテンツの更新をフォローしてください。 こちら。SOC Prime検出コンテンツライブラリは、協力的なサイバー防御アプローチにより常に新しいコンテンツで更新されており、クリティカルトラットの検出を迅速に提供するためにFollow the Sun (FTS) モデルを活用しています。

最新の脅威を追跡し、脅威調査を自動化し、20,000を超えるセキュリティ専門職のコミュニティからのフィードバックと評価を受けたいですか？ SOC Primeに参加して、世界初の協力的なサイバー防御、脅威ハンティング、および発見プラットフォームで、25以上のSIEM、EDR、XDRプラットフォームと統合されたものに接続してください。サイバーセキュリティでの高い野望を持っていますか？ 担当者は自分のSigmaルールを開発し、貴重な貢献に対する繰り返しの報酬を得ることができるThreat Bountyプログラムに参加してください！

検出を表示 Threat Bountyに参加

Pipedream/INCONTROLLER ICS マルウェア解析

CISA、FBI、NSA、および米国エネルギー省からの共同 サイバーセキュリティアドバイザリー が2022年4月13日に発表され、ICSに特化した複数の攻撃およびAPTアクターの監督制御およびデータ収集 (SCADA) デバイス、Schneider Electric およびOMRON (Sysmac NJ および NX デバイス) 企業がリリースしたプログラマブルロジックコントローラ(PLC) に対する攻撃、およびオープンプラットフォーム通信統一アーキテクチャ (OPC UA) サーバーを対象とした試みについて詳述しています。

Dragosサイバーセキュリティ企業は、問題となっている攻撃に関する声明を発表し、利用されたマルウェアを Pipedream (Chernovite ATP に追跡されている)と呼び、一方でMandiantは INCONTROLLERと名付けられたツールセットに焦点を当てました。Pipedream/INCONTROLLER ICS マルウェアは、ICSおよびSCADAデバイスをスキャンし、運用技術 (OT) ネットワークへの初期アクセスが成功した後、被害を受けたマシンを完全に制御する能力を持っています。さらに、この攻撃フレームワークのコンポーネントは、ASRock RGB ドライバの欠陥を悪用することを許可し、CVE-2020-15368 に追跡されます (上記のSigmaベースのルールを参照)。INCONTROLLER自体は、異なる能力を持つ3つのICSツール、TAGRUN、CODECALL、およびOMSHELLで構成されています。前述のINCONTROLLERコンポーネントは、攻撃のさまざまな段階で使用されます。

INCONTROLLER攻撃シナリオは、Triton、Stuxnet、Industroyerマルウェアの系統と比較される可能性を示唆しています。研究者たちは現在の状況、すなわちロシアのウクライナ侵攻を受け、INCONTROLLERおよびPipedreamのマルウェアが、ウクライナやロシアの侵略に反対する他国の産業プロセスを妨害することで、多くの重要なインフラを危機に晒す恐れがあると警告しています。例えば、著名なIndustroyerマルウェアファミリーの最新のサンプルは Industroyer2とタグ付けされ、ウクライナの電力網を破壊するSandworm APTグループのオペレーターが攻撃を仕掛けたものです。

研究者たちは、INCONTROLLERによって攻撃された大半のデバイスが自動化機械と統合されており、しばしば産業運用の目立たない部分を構成していると強調しています。全面的な影響の範囲はまだ明らかになっていません。

困難な時期には、サイバー犯罪者のための待ち伏せでないシステムを確保するために、年来の信頼できるツールとリソースに頼ってください。一緒に未来の安全を守るために SOC Prime と協力しましょう。SOC Primeの Detection as Codeプラットフォーム に無料でサインアップし、ベストプラクティスと共有の専門知識でSOC業務を合理化してください。