#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей тенденции кибератакеров, использующих легальные платформы, такие как Steam и Telegram, для распространения вредоносного ПО и создания инфраструктуры командования и контроля (C2) с использованием технологии, называемой Dead Drop Resolver (DDR). Различные семейства вредоносных программ, включая Vidar, Lumma, ACR и MetaStealer, адаптировались к использованию этих платформ для целей C2, что позволяет им публиковать зашифрованную информацию C2 и незаметно обновлять адреса серверов, собирая конфиденциальные данные из зараженных систем. Эта тенденция свидетельствует о том, что злоумышленники все чаще используют популярные платформы для совершения вредоносных действий, что подчеркивает растущую сложность киберугроз.
-----

В тексте обсуждается растущая тенденция кибератакеров, использующих легальные платформы, такие как Steam и Telegram, для распространения вредоносного ПО и создания инфраструктуры командования и контроля (C2) с использованием метода, называемого Dead Drop Resolver (DDR). Упомянутое вредоносное ПО включает в себя популярные stealers, такие как Vidar, Lumma, ACR и MetaStealer, которые адаптированы к использованию Steam и Telegram для целей C2.

Злоумышленники используют эти платформы для публикации зашифрованной или кодированной информации C2, которую вредоносная программа извлекает после заражения. Этот метод позволяет повысить устойчивость инфраструктуры C2, поскольку злоумышленники могут в любое время обновить адрес сервера C2, оставаясь при этом незаметными для мер безопасности. В тексте подробно описывается одно известное семейство, Vidar, использующее профили Steam и каналы Telegram для извлечения адресов C2. Vidar способен собирать различные данные, включая системную информацию, данные веб-браузера, криптовалютные кошельки и многое другое.

Другим обсуждаемым семейством вредоносных программ является Lumma, которое упоминалось на русскоязычных форумах примерно в 2022 году. В примере Lumma, приведенном в тексте, используются методы обфускации, что затрудняет статический анализ. Он также включает в себя такие возможности, как кража данных из браузеров, криптовалютных кошельков и внедрение бинарного морфера с потоком управления.

MetaStealer представлен как еще одно семейство, использующее DDR, и в тексте подчеркивается его сходство с RedLine stealer. MetaStealer использует раздел комментариев Steam, чтобы легко скрывать активность и стирать следы. Метод использования законных платформ для распространения вредоносного ПО продолжает развиваться, и в 2024 году MetaStealer внедрила Steam в качестве новой платформы распространения.

В тексте содержится информация о методах, используемых этими семействами вредоносных программ, таких как расшифровка адресов C2, внедрение полезных данных в процессы и поиск данных с конечных точек жертвы. Появление этих примеров с использованием DDR с поддержкой Steam или Telegram свидетельствует о том, что злоумышленники предпочитают этот метод. Отмечается, что разработчики такого вредоносного ПО признают стабильность и успешность использования этих платформ в вредоносных целях.

#ParsedReport #CompletenessLow
22-10-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/fake-attachment-roundcube-mail-server-attacks-exploit-cve-2024-37383-vulnerability

Report completeness: Low

Actors/Campaigns:
Winter_vivern

Victims:
Government organizations

Industry:
Government

CVEs:
CVE-2024-37383 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 1

Soft:
Roundcube

Algorithms:
base64

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Roundcube Webmail, популярный почтовый клиент с открытым исходным кодом, уязвим для использования киберпреступниками. Уязвимость CVE-2024-37383 позволяет злоумышленникам выполнять вредоносный JavaScript-код через специально созданные электронные письма. Организации, использующие веб-почту Roundcube, сталкиваются со значительными рисками в области кибербезопасности и должны уделять приоритетное внимание своевременному исправлению ошибок и надежным мерам безопасности для устранения этих угроз.
-----

Roundcube Webmail - это популярный почтовый клиент с открытым исходным кодом, написанный на PHP, который обеспечивает удобный доступ к учетным записям электронной почты через браузер без использования полноценных почтовых клиентов. Его обширная функциональность позволила ему широко использоваться коммерческими и правительственными организациями по всему миру. Однако эта популярность также привлекает киберпреступников, которые используют ее уязвимости для кражи учетных данных и корпоративной электронной почты.

Одной из таких уязвимостей является CVE-2024-37383, сохраненная уязвимость XSS, обнаруженная в веб-почте Roundcube. Этот недостаток позволяет злоумышленникам выполнять JavaScript-код на странице пользователя, отправляя вредоносное электронное письмо жертве, используя уязвимую клиентскую версию Roundcube между 1.5.6 и 1.6.6. Уязвимость была выявлена и исправлена исследователями CrowdStrike 19 мая 2024 года.

Эксплойт включает в себя встраивание кода JavaScript в текст электронного письма с использованием отличительных тегов, таких как eval(atob(...)) и attributeName="href " с дополнительным пробелом. Эта манипуляция тегами заставляет Roundcube не фильтровать JavaScript-код, позволяя ему выполняться при открытии электронного письма. Уязвимость возникает из-за неправильного использования элементов SVG в разметке текста электронного письма во время предварительной обработки.

Киберпреступники, в том числе такие группы, как Winter Vivern, ранее использовали уязвимости веб-почты Roundcube для атак на правительственные организации в Европе. Хотя недавняя атака, описанная в статье, не может быть отнесена на счет известных участников, она подчеркивает сохраняющуюся угрозу, связанную с использованием уязвимостей Roundcube. Несмотря на то, что Roundcube не является наиболее широко используемым почтовым клиентом, его распространенность в государственных учреждениях делает его привлекательной мишенью для киберпреступников, стремящихся получить конфиденциальную информацию.

Таким образом, уязвимость CVE-2024-37383 в Roundcube Webmail позволяет злоумышленникам выполнять вредоносный JavaScript-код с помощью специально созданных электронных писем, создавая значительную угрозу для организаций, которые полагаются на этот почтовый клиент. Киберпреступники постоянно адаптируют свои эксплойты для устранения таких уязвимостей, подчеркивая важность своевременного исправления и надежных мер кибербезопасности для снижения рисков, связанных с использованием веб-почты Roundcube.

#ParsedReport #CompletenessMedium
22-10-2024

Threat actor abuses Gophish to deliver new PowerRAT and DCRAT. Victimology. Threat actor abuses Gophish to deliver new PowerRAT and DCRAT

https://blog.talosintelligence.com/gophish-powerrat-dcrat

Report completeness: Medium

Threats:
Gophish_tool
Powerrat
Dcrat
Goloader
Spark_rat
Lolbin_technique
Dll_injection_technique

Victims:
Russian-speaking users

Geo:
Russia, Belarus, Azerbaijan, Russian, Ukraine, Uzbekistan, Kazakhstan

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059.001, T1027, T1547.001, T1057, T1560.002, T1083, T1497.003

IOCs:
Domain: 3
IP: 3
File: 9
Registry: 1
Command: 19
Path: 7
Url: 1

Soft:
Microsoft Word, Microsoft Defender, winlogon, Task Scheduler

Algorithms:
base64

Functions:
CheckContent, GetID, offlineworker, click, JavaScript

Languages:
javascript, powershell, golang

Links:
https://github.com/gophish/gophish
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 12, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cisco Talos раскрыла фишинговую кампанию, нацеленную на русскоязычных пользователей, использующую фишинговый инструментарий с открытым исходным кодом Gophish и предоставляющую полезные данные, такие как PowerRAT и DCRAT, с помощью вредоносных документов Word и HTML-файлов с JavaScript. Злоумышленник использует сложные методы, включая сценарии PowerShell в кодировке base64, чтобы использовать взаимодействие пользователей для компрометации системы, подчеркивая необходимость принятия усиленных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

Cisco Talos обнаружила фишинговую кампанию с использованием инструментария Gophish с открытым исходным кодом, в которой использовались модульные цепочки заражения, требующие взаимодействия с пользователем для запуска процесса заражения.

В рамках кампании используются два трояна для удаленного доступа (RATs), PowerRAT и DCRAT, и ведутся работы по разработке PowerRAT, о чем свидетельствуют заполнители для сценариев PowerShell в кодировке base64.

Основной мишенью являются русскоязычные пользователи, о чем свидетельствует использование ненормативной лексики в фишинговых письмах и контент, напоминающий платформу социальных сетей "ВКОНТАКТЕ".

Домены, находящиеся под контролем злоумышленника, такие как disk-yanbex[.\]ru и e-connection[.\]ru, были идентифицированы как распространяющие вредоносные документы и отправляющие фишинговые электронные письма с экземпляра AWS EC2.

Атаки инициируются с помощью вредоносных документов Word и HTML-файлов, содержащих вредоносный JavaScript, что приводит к развертыванию PowerRAT или DCRAT в зависимости от выбранного вектора.

Методы включают в себя пользовательские макросы VB для развертывания вредоносных файлов, манипулирование разделами реестра Windows NT и использование JavaScript для обмана жертв и запуска вредоносного ПО.

Заражение DCRAT включает в себя запуск GOLoader, вредоносного исполняемого файла, который настраивает параметры антивируса, загружает DCRAT и активирует различные вредоносные действия на компьютере жертвы.

Исполнитель угроз демонстрирует сложный подход, подчеркивая необходимость бдительности и надежных мер кибербезопасности для эффективного противодействия таким угрозам.

#ParsedReport #CompletenessMedium
23-10-2024

The Crypto Game of Lazarus APT: Investors vs. Zero-days

https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Bluenoroff
Moonstone_sleet
Detankwar

Threats:
Volgmer
Sandbox_evasion_technique
Spear-phishing_technique

Victims:
Governments, Diplomatic entities, Financial institutions, Military and defense contractors, Cryptocurrency platforms, It and telecommunication operators, Gaming companies, Media outlets, Casinos, Universities, have more...

Industry:
Entertainment, Telco, Financial, Government, Education, Military

Geo:
Russia, North korean

CVEs:
CVE-2024-4947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.60)


ChatGPT TTPs:
do not use without manual check
T1203, T1566, T1001, T1059.007

IOCs:
Domain: 3
Coin: 1
File: 1
Hash: 2

Soft:
Google Chrome, Chrome, Twitter, Telegram, Microsoft Edge

Algorithms:
base64, aes, zip, aes-256

Functions:
SetNamedProperty

Win Services:
bits

Languages:
python, typescript, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа Lazarus APT, включая ее подгруппу BlueNoroff, является опытной APT из Кореи, известным использованием своего фирменного вредоносного ПО Manuscrypt для атак на различные организации, такие как правительства, финансовые учреждения, военные подрядчики и другие. В тексте также рассказывается о недавнем инциденте, когда группа Lazarus APT использовала уязвимость нулевого дня в Google Chrome для заражения ПК жертвы, демонстрируя свою передовую тактику и методы социальной инженерии.
-----

Lazarus APT, а также его подгруппа BlueNoroff, являются известными APT из Кореи. Они используют в своих атаках фирменную вредоносную программу - бэкдор Manuscrypt. Эта вредоносная программа используется как минимум с 2013 года и была задокументирована в более чем 50 уникальных кампаниях, нацеленных на широкий круг организаций, включая правительства, финансовые учреждения, военных подрядчиков, криптовалютные платформы, игровые компании и многое другое.

В ходе недавнего инцидента, произошедшего 13 мая 2024 года, Kaspersky Total Security обнаружил новое заражение Manuscrypt на персональном компьютере физического лица в России. Эта необычная атака на физическое лицо привела к дальнейшему расследованию. Выяснилось, что заражению способствовал вредоносный веб-сайт, маскирующийся под страницу многопользовательской онлайн-игры на основе децентрализованных финансовых технологий. Веб-сайт использовал уязвимость нулевого дня в веб-браузере Google Chrome, предоставляющую злоумышленникам полный контроль над ПК жертвы.

Компания Kaspersky уведомила Google об уязвимости в соответствии с практикой ответственного раскрытия информации, что позволило выпустить исправление. Впоследствии Google предприняла шаги по блокировке вредоносного веб-сайта и связанных с ним сайтов для предотвращения дальнейшего использования. Однако сообщение в блоге Microsoft частично раскрыло информацию о кампании, указывая на то, что Microsoft также отслеживала инцидент.

Злоумышленники использовали сложный подход, включающий использование уязвимостей в компиляторе Google Chrome версии 8 и обход песочницы версии 8 для удаленного выполнения кода. Воспользовавшись уязвимостью в компиляторе Maglev (CVE-2024-4947), злоумышленники смогли считывать и записывать данные из памяти движка JavaScript, в конечном итоге получив полный доступ к системе.

Злоумышленники использовали тактику социальной инженерии, включая разработку поддельной компьютерной игры, чтобы заманить жертв на загрузку вредоносного ПО. Игра под названием DeTankZone была разработана для отвлечения внимания пользователей, в то время как реальной целью было заражение их систем. Аналитики Kaspersky провели реинжиниринг игры и обнаружили, что исходный код был украден из легальной игры DeFiTankLand. Злоумышленники модифицировали украденный исходный код, создав ложную версию для своей вредоносной кампании.

Компания Lazarus APT уже давно нацелена на криптовалютную индустрию с целью получения финансовой выгоды и известна развитием своей тактики, включая использование генеративного искусственного интеллекта в публикациях в социальных сетях и фишинговых кампаниях. Их атаки опасны из-за частого использования эксплойтов нулевого дня, позволяющих проводить сложные атаки с использованием, казалось бы, безобидных ссылок или электронных писем.

#ParsedReport #CompletenessLow
23-10-2024

Malicious npm Packages Steal Ethereum Keys and Gain SSH Access

https://www.secureblink.com/cyber-security-news/malicious-npm-packages-steal-ethereum-keys-and-gain-ssh-access

Report completeness: Low

Threats:
Typosquatting_technique

Industry:
Financial

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1001, T1078.003, T1557.001, T1003

IOCs:
File: 1
Domain: 1
IP: 1
Url: 7

Crypto:
ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что сообщество разработчиков Ethereum недавно подверглось двум отдельным атакам с использованием вредоносных пакетов npm, направленных на кражу закрытых ключей и компрометацию систем разработчиков. Атаки осуществлялись под видом популярных библиотек Ethereum, при этом одна из них вводила вредоносный код для утечки закрытых ключей и получения несанкционированного доступа по SSH к компьютерам разработчиков, а другая использовала тайпосквоттинг для создания поддельных пакетов для кражи закрытых ключей. Атаки создают риск немедленных финансовых потерь и компрометации блокчейн-активов, что подчеркивает важность таких мер безопасности, как регулярные проверки, соблюдение принципа наименьших привилегий и своевременные обновления и исправления. Разработчикам также рекомендуется сообщать о подозрительных пакетах и получать информацию о рекомендациях по безопасности.
-----

Сообщество разработчиков Ethereum недавно подверглось атакам злоумышленников в результате двух отдельных атак с использованием вредоносных пакетов npm. Эти атаки направлены на выдачу себя за популярные библиотеки Ethereum с целью кражи закрытых ключей и компрометации систем разработчиков. Первая атака была связана с выдачей себя за библиотеку ethers, которая широко используется для взаимодействия с блокчейном Ethereum. Вредоносный код был вставлен в эти поддельные пакеты для утечки закрытых ключей и получения несанкционированного SSH-доступа к компьютерам разработчиков.

Вредоносные пакеты, маскирующиеся под библиотеку ethers, содержали код, предназначенный для извлечения закрытых ключей Ethereum, когда разработчик создавал новый кошелек, используя библиотеку. Эти извлеченные закрытые ключи были отправлены на удаленный сервер, контролируемый злоумышленником. Кроме того, вредоносная программа попыталась добавить открытый SSH-ключ злоумышленника в файл authorized_keys пользователя root, потенциально предоставив злоумышленнику удаленный SSH-доступ. Вредоносный код был замаскирован и распределен по нескольким файлам и модулям, чтобы избежать обнаружения.

В ходе отдельной атаки злоумышленник атаковал криптографический пакет ethereum с помощью тайпсквоттинга, создав поддельные пакеты с именами, похожими на имена легитимной библиотеки. Целью этой атаки было украсть закрытые ключи, отправив их на сервер в Китае. Вредоносные пакеты сохраняли все допустимые функциональные возможности, чтобы избежать подозрений, и единственным дополнением был код для извлечения закрытых ключей. Злоумышленник попытался скрыть вредоносный код в более поздних версиях, хотя и непрофессиональным способом.

Обе атаки преследовали общую цель - украсть приватные ключи Ethereum, что может привести к немедленным финансовым потерям и компрометации активов блокчейна. В ходе первой атаки также была предпринята попытка получить SSH-доступ к компьютерам разработчиков, что потенциально позволило злоумышленнику выполнять произвольные команды и получать доступ к конфиденциальным данным.

Регулярные проверки системных файлов, соблюдение принципа наименьших привилегий и своевременные обновления и исправления для систем и приложений являются важными мерами безопасности. Разработчикам рекомендуется сообщать о любых подозрительных пакетах, с которыми они сталкиваются, и получать информацию о рекомендациях по безопасности и отчетах из авторитетных источников в сообществе разработчиков.

#ParsedReport #CompletenessMedium
23-10-2024

DarkComet RAT: Technical Analysis of Attack Chain

https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis

Report completeness: Medium

Actors/Campaigns:
Darkcodersc

Threats:
Darkcomet_rat
Ngrok_tool

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 4
Path: 2
Hash: 3
Domain: 1

Soft:
Windows security, Windows Explorer, WinLogon, Linux

Algorithms:
sha256, sha1, md5

Functions:
GetSIN, GetDrives, GetSrchDrives, GetFileAttrib, GetAppList, GetServList, RemoveServices, GetStartUpList, GetOfflineLogs, GetFullInfo, have more...

Win API:
LookupPrivilegeValueA, AdjustTokenPrivileges, GetCurrentHwProfileA, mouse_event, keybd_event, EnumDisplayDevicesA, GetSystemInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это отчет об анализе вредоносного ПО, в котором основное внимание уделяется троянцу удаленного доступа (RAT) DarkComet, с подробным описанием его функциональных возможностей, методов обхода, механизмов сохранения, связи с сервером управления и контроля и способности получать и выполнять удаленные команды. В отчете также упоминается полезность ANY.RUN, интерактивной платформы sandbox, для анализа вредоносных угроз и расширения возможностей анализа угроз для специалистов по кибербезопасности.
-----

Статья представляет собой отчет об анализе вредоносных программ, автором которого является Мостафа Эльшейми, специалист по реинжинирингу вредоносных программ и аналитику по анализу угроз, и в котором основное внимание уделяется трояну удаленного доступа (RAT) DarkComet. DarkComet, первоначально разработанный Жан-Пьером Лесюером в 2008 году, работает как скрытая вредоносная программа, которая позволяет злоумышленникам удаленно управлять системами, красть конфиденциальные данные и выполнять вредоносные действия. Вредоносная программа приобрела популярность благодаря своему удобному графическому интерфейсу, что привело к широкому использованию в кибератаках.

DarkComet использует различные методы, чтобы избежать обнаружения и сохранить контроль над зараженными системами. Он использует операции командной строки для изменения атрибутов файлов, что затрудняет обнаружение его компонентов. Вредоносная программа устанавливает связь с вредоносным доменом для удаленного управления и утечки данных. Он взаимодействует с API-интерфейсами Windows для изменения привилегий процессов, сбора информации об оборудовании и проверки системных настроек.

Одна ключевая функция, называемая sub_4735E8, позволяет DarkComet выполнять итерацию по внутренним данным, известным как DARKCOMET DATA, для извлечения определенных атрибутов, таких как домен C2, SID и значения мьютекса. Эта функция помогает скрыть ключевую информацию и гарантировать, что в системе одновременно будет запущен только один экземпляр вредоносной программы. Поместив файл с именем msdcsc.exe в определенный каталог и запустив его оттуда, DarkComet может избежать обнаружения средствами безопасности.

Чтобы поддерживать работоспособность в зараженных системах, DarkComet извлекает дескрипторы модулей для дальнейших манипуляций и функции для имитации пользовательского ввода, сбора данных и взаимодействия с дисплеем и буфером обмена. Он использует функции mouse_event и keybd_event для имитации действий мыши и клавиатуры, перехвата нажатий клавиш и манипулирования пользовательским вводом. Вредоносная программа может определять типы клавиатуры, перехватывать нажатия клавиш и получать доступ к данным на дисплее и в буфере обмена для извлечения или манипулирования.

DarkComet получает инструкции от своего сервера управления (C2) для выполнения удаленных задач, включая развертывание дополнительных вредоносных программ в зараженной системе. Возможности вредоносного ПО, включая изменение системных настроек, имитацию ввода и получение команд с сервера C2, делают его универсальным инструментом для злоумышленников при проведении целенаправленных кибератак.

В статье также рассказывается о пользе ANY.RUN - интерактивной платформы-песочницы, которая помогает специалистам по кибербезопасности анализировать вредоносные программы, нацеленные как на Windows, так и на Linux. Платформа упрощает анализ вредоносных программ, помогает быстро обнаруживать угрозы и предоставляет инструменты для изучения поведения вредоносных программ в режиме реального времени. В статье содержится призыв к специалистам по кибербезопасности использовать такие ресурсы для расширения своих возможностей в области анализа угроз и эффективного реагирования на инциденты.

#ParsedReport #CompletenessMedium
23-10-2024

ICS Threats: Malware Targeting OT? It s More Common Than You Think

https://www.forescout.com/blog/targeting-ot-security-ics-threats-malware

Report completeness: Medium

Threats:
Aisuru
Kaiten
Bashlite
Mirai
Industoyer2
Stuxnet
Havex_rat
Triton
Incontroller_tool
Cosmicenergy
Fuxnet
Frostygoop
Acidrain
Vpnfilter
Snake_ransomware
Findzip

Victims:
Ics, Iot devices, Modicon plcs, Steam gaming service

Industry:
Ics, Energy, Entertainment, Iot, Critical_infrastructure

Geo:
Italy, Japan, India

ChatGPT TTPs:
do not use without manual check
T1613, T1562.001, T1496

IOCs:
Hash: 47
Url: 29
IP: 16

Soft:
Twitter, Steam

Languages:
python, rust

Platforms:
x64, arm, x86

Links:
https://gist.github.com/zenware/ad80d30217cb523737b94c8e685ae85d

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе вредоносных программ, нацеленных на операционные технологии (OT) и промышленные системы управления (ICS), с акцентом на увеличение активности ботнетов, нацеленных на устройства OT, использование учетных данных по умолчанию и повышенный риск для систем OT от случайных атак. В тексте подчеркивается необходимость того, чтобы организации защищали незащищенные устройства OT и ICS, обновляли учетные данные по умолчанию и отслеживали сети на предмет вредоносной активности для снижения этих рисков. В нем также обсуждается изменение тактики создателей вредоносных программ в сторону ориентации на OT-системы, растущее присутствие вредоносных программ, специфичных для OT, и уязвимости широко используемых устройств, таких как квантовые ПЛК Schneider Electric Modicon.
-----

Развивается вредоносное ПО, нацеленное на операционные технологии (OT) и промышленные системы управления (ICS), при этом кластеры ботнетов, использующие учетные данные по умолчанию, уделяют все большее внимание устройствам OT.

Недавние исследования выявили кластеры ботнетов, осуществляющих атаки на удаление данных в среде OT, что подчеркивает повышенный риск оппортунистических атак на системы OT.

Организациям рекомендуется обезопасить незащищенные устройства OT и ICS, обновить учетные данные по умолчанию и отслеживать сети на предмет вредоносной активности, чтобы снизить риски.

Появление ботнета Mirai в 2016 году привело к росту числа DDoS-ботнетов, заражающих встроенные системы, а также нацеленных на устройства Интернета вещей.

К числу известных вредоносных программ, специфичных для OT, относятся Industroyer2, INCONTROLLER, COSMICENERGY, Fuxnet и FrostyGoop/BUSTLEBERM, а некоторые варианты программ-вымогателей также нацелены на системы, связанные с OT.

Вредоносное ПО, специфичное для OT, часто использует технические протоколы, такие как Modbus, IEC-104 или S7, для взаимодействия с устройствами, с отличительными сигнатурами для идентификации.

Были обнаружены ботнеты, использующие учетные данные по умолчанию в ПЛК, таких как INTEGRATOR и Elsist SlimLine, и устройствах Интернета вещей, таких как IP-камеры и видеорегистраторы.

Были выявлены конкретные кластеры образцов ботнетов, нацеленных на квантовые ПЛК Schneider Electric Modicon, что указывает на уязвимости в широко распространенных устройствах, использующих протокол Modbus.

Инциденты, связанные с атаками вредоносных программ и хакеров на ПЛК Modicon, подчеркивают острую необходимость обеспечения безопасности этих устройств в критически важных инфраструктурных условиях.