Pipedream/INCONTROLLER 탐지: 산업 제어 시스템을 겨냥한 새로운 공격 프레임워크와 도구

미국 정부 기관 – CISA, FBI, NSA 및 에너지부 – 그리고 여러 기업의 사이버 보안 연구팀이 산업 제어 시스템(ICS)에 대한 전국적 위협에 대해 경고를 울렸습니다. 보안 조사관에 따르면, APT 행위자들은 운영 기술(OT) 네트워크에 초기 접근을 수립한 후 고유한 도구 세트를 활용하여 목표 기계를 장악합니다. 이러한 공격은 설정된 프로세스를 파괴하고 물리적 손상을 초래할 가능성을 가지고 있습니다.

연구원들은 INCONTROLLER 및 Pipedream ICS 특화 악성코드를 러시아 연계 위협 행위자와 연결하고 있습니다.

Pipedream/INCONTROLLER ICS 악성코드 탐지

Pipedream/INCONTROLLER ICS 악성코드를 손쉽게 탐지하려면, 숙련된 보안 전문가가 출시한 다음의 위협 탐지 콘텐츠를 활용하십시오. 시티콘 상랏타나피탁. Sigma 기반 규칙은 CVE-2020-15368 – ASRock 메인보드 드라이버 관련 취약점을 악용하는 의심 파일 이름을 탐지합니다. 이는 IT 또는 운영 기술(OT) 환경의 Windows 기반 시스템을 악용하기 위한 ICS 타겟 공격 프레임워크인 INCONTROLLER에 의해 생성되었습니다.

INCONTROLLER 국가 후원 사이버 공격 도구, 드라이버 익스플로이트 [CVE-2020-15368]를 갖춘 산업 제어 시스템 타겟 (via file_event)

이 탐지는 22개의 SIEM, EDR & XDR 플랫폼에서 사용할 수 있으며, 최신 MITRE ATT&CK® 프레임워크 v.10과 맞춰져 있으며, 초기 실행 전술에서 사용자 실행(T1204)을 주요 기법으로 다루고 있습니다.

SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에서 INCONTROLLER 관련 탐지 콘텐츠 업데이트를 따르십시오. 여기. SOC Prime 탐지 콘텐츠 라이브러리는 협업 사이버 방어 접근 방식으로 강화되고 Follow the Sun(FTS) 모델로 지원되는 신속한 탐지 제공을 위한 새로운 콘텐츠로 지속적으로 업데이트됩니다.

최신 위협을 사냥하고, 위협 조사를 자동화하고, 20,000명 이상의 보안 전문가 커뮤니티의 피드백과 검토를 받고 싶으신가요? 협업 사이버 방어, 위협 사냥 및 탐색을 위한 세계 최초 플랫폼인 SOC Prime에 가입하십시오. 25개 이상의 SIEM, EDR, XDR 플랫폼과 통합됩니다. 사이버 보안에서 높은 목표를 가지고 계신가요? 우리의 Threat Bounty 프로그램에 가입하여 자신의 Sigma 규칙을 개발하고 귀하의 귀중한 기여에 대한 반복적인 보상을 받으십시오!

탐지 보기 Threat Bounty 가입

Pipedream/INCONTROLLER ICS 악성코드 분석

CISA, FBI, NSA, 그리고 미국 에너지부의 사이버 보안 권고 가 2022년 4월 13일에 발표되었습니다. 이는 여러 ICS 특화 공격뿐만 아니라 슈나이더 일렉트릭 및 OMRON(Sysmac NJ 및 NX 디바이스) 회사의 프로그래머블 로직 컨트롤러(PLC)와 같은 감시 제어 및 데이터 수집(SCADA) 디바이스를 탈취하려는 APT 행위자들의 시도를 다루고 있습니다. 또한 Open Platform Communications Unified Architecture (OPC UA) 서버를 타겟팅 중입니다.

드라고스 사이버 보안 회사는 해당 공격에 대한 성명을 발표했으며, 사용된 악성코드를 Pipedream (이는 Chernovite ATP로 추적됨) 라고 언급한 반면, 맨디언트는 도구 세트를 INCONTROLLER라고 명명하였습니다. Pipedream/INCONTROLLER ICS 악성코드는 적에게 ICS 및 SCADA 디바이스를 스캔하고 OT 네트워크에 초기 접근이 성공적으로 이루어지면 감염된 기계를 완전히 제어할 수 있게 합니다. 게다가 공격 프레임워크 구성 요소들은 위의 Sigma 기반 규칙을 참조하여, ASRock RGB 드라이버의 결함(CVE-2020-15368)을 악용할 수 있게 합니다. INCONTROLLER 자체는 TAGRUN, CODECALL, OMSHELL이라는 서로 다른 기능을 가진 세 가지 ICS 도구로 구성되어 있습니다. 앞서 언급한 INCONTROLLER 구성 요소는 공격의 다양한 단계에서 사용됩니다.

INCONTROLLER 공격 시나리오는 Triton, Student, Industroyer 악성코드 계열과의 비교 가능성을 시사합니다. 연구원들은 현재의 사건, 즉 러시아의 우크라이나 침공에 비추어 볼 때 INCONTROLLER와 Pipedream 악성코드가 우크라이나와 러시아 침공에 반대하는 다른 국가의 산업 공정을 파괴하여 많은 주요 인프라를 위험에 빠뜨릴 우려가 있다고 경고합니다. 예를 들어, 악명 높은 Industroyer 악성코드 계열의 최신 샘플 태그가 Industroyer2로 최근 화제를 모았습니다. 우크라이나 전력망을 마비시킨 Sandworm APT 그룹이 배후에 있습니다.

연구원들은 INCONTROLLER에 의해 공격받는 대부분의 디바이스가 자동화 기계와 통합되어 있으며 산업 운영과 관련하여 눈에 띄지 않는 부분을 차지하고 있음을 강조합니다. 결과에 대한 전체적인 규모는 아직 밝혀지지 않았습니다.

긴박한 시기에 사이버 범죄자들을 위한 앉은 오리가 되지 않도록 시스템을 확실히 유지하기 위해 검증된 도구와 리소스를 신뢰하십시오. 함께 서서 SOC Prime 과 함께 안전한 미래를 만들어 갑시다. SOC Prime의 Detection as Code 플랫폼 에 무료로 가입하여 최고의 관행과 공유된 전문 지식을 통해 귀하의 SOC 운영을 간소화하십시오.