Infektio käyttää Lemon_Duck PowerShell -haittaohjelmavarianttia sulautettujen laitteiden haavoittuvuuksien hyödyntämiseen tuotantopaikoilla.
Uusi haittaohjelmakampanja, joka on rakennettu hyödyntämään kytkettyjen laitteiden virheitä, on suunnattu valmistajille ympäri maailmaa ja vaikuttaa tuotteisiin älykkäistä tulostimista raskaisiin käyttölaitteisiin.
TrapX Labsin tutkijat näkivät tämän hyökkäyksen ensimmäisen kerran Latinalaisen Amerikan valmistajiin lokakuussa 2019. Sittemmin se on jatkanut laajentumistaan huipullaan joulukuussa ja jatkanut kasvuaan tänä vuonna muun muassa Pohjois-Amerikassa, Afrikassa ja Lähi-idässä, TrapX sanoo. Toimitusjohtaja Ori Bach.
"Hyökkäyksen luonteen vuoksi on järkevää tehdä se maailmanlaajuiseksi", Bach selittää. "Hyökkääjä haluaa peittää niin paljon kiinteistöjä kuin mahdollista."
Tämä hyökkäyskampanja käyttää itsestään leviävää latausta, joka ajaa haitallisia skriptejä osana Lemon_Duck PowerShell -haittaohjelmistoperhettä. Uhka hyödyntää sulautettujen Windows 7 -laitteiden haavoittuvuuksia ja kohdistuu erityisesti tuotantopaikkoihin, joissa tartunnan saaneet laitteet saattavat aiheuttaa toimintahäiriöitä ja aiheuttaa riskejä työntekijöiden turvallisuudelle, toimitusketjun häiriöille ja tietojen menetykselle.
Hyökkääjät käyttävät useita menetelmiä murtautuakseen tuotantopaikoille, Bach sanoo, mutta viime kädessä heidän alkuperäinen tulonsa tapahtuu kahden päähyökkäysvektorin kautta. Ensimmäinen on klassinen tietojenkalastelusähköposti; onnistuessaan tunkeilija voi käyttää erilaisia työkaluja - haavoittuvuusprotokollia, heikkoja salasanoja, tiivistelmä ja muut - levittääkseen kohdeorganisaatioon.
Toinen on toimitusketjuinfektio. Hyökkääjä voi vaarantaa yrityksen, jossa laitteita valmistetaan, jotta ne saapuvat lopulliseen määränpäähänsä saastuttamalla. Kun ne on kytketty kohdeverkkoon, nämä haitalliset laitteet voivat levittää haittaohjelmia muille verkon käyttäjille. Nämä toimitusketjun hyökkäykset muodostavat 80% tartunnoista tässä kampanjassa, Bach toteaa. Hän lisää, että tuotteita on suojattu tietojenkalasteluviesteiltä, mutta toimitusketjun uhkien torjumiseksi niitä on vähemmän.
Näissä hyökkäyksissä ja monissa esineiden internetiin keskittyneissä kampanjoissa viholliset eivät ole kiinnostuneita laitetyypistään. "Hyökkääjät ovat tietysti agnostisia laitteen toiminnallisuudesta", hän sanoo valitsemallaan kohteita. "He välittävät siitä, mitä tämä laite käyttää." Monille laitteille tämä on Windows 7, käyttöjärjestelmä pysähtynyt turvatuen saaminen aiemmin tänä vuonna.
Esimerkki yhdestä tällaisesta laitteesta on DesignJet SD Pro -skanneri / -tulostin, joka tarttui tähän kampanjaan ja toimi lähtökohtana yhteen kohdeverkkoon, tutkijoiden raportti. Sitä käytetään teknisen suunnittelun piirustusten tulostamiseen ja sillä on arkaluonteisia tietoja valmistajan tuotteista; se ajoi myös Windows 7: n sulautettuina ja sillä oli pääsy Internetiin ja erilaisiin projekteihin.
Erillisessä toimitusketjun hyökkäyksessä hyökkääjät tarttuivat automaattiseen ohjattuun ajoneuvoon (AGV), kappaleeseen, jota käytetään materiaalien kuljettamiseen tai tehtävien suorittamiseen teollisuusympäristöissä. Maastoautot käyvät paristoilla tai sähkömoottoreilla ja voivat vaarantaa työntekijöiden turvallisuuden työalueella. Tämä tapaus aiheutti sekaannusta tuotantolinjalla, mikä vahingoitti AGV: n kokoamia tuotteita. Kohdeverkosto sisälsi kolme muuta AGV: tä, jotka kaikki oli saanut esi-infektoidut haittaohjelmat.
Haittaohjelmien valmistus
Lemon_Duck kehitettiin kryptomineriksi, Bach kertoo. Tässä skenaariossa haittaohjelmat on räätälöity suorittamaan ominaisuuksia, jotka eivät ole saaneet aikaan kryptovaluutan louhintaa kohdekoneessa.
Tämä tietty variantti etsii verkkoa potentiaalisten kohteiden suhteen, mukaan lukien laitteet, joissa SMB (445) tai MSSQL (1433) palvelut ovat avoinna. Kun se löytää yhden, haittaohjelma suorittaa useita säikeitä, joilla on useita toimintoja. Se yrittää ensin julistaa palveluita käyttäjänimillä ja salasanoilla päästäkseen pääsyyn, jotta se voi edelleen ladata ja levittää haittaohjelmia SMB: n tai MSSQL: n kautta. Toinen sen toiminnallisuuksista on ajaa invoke-mimkatz tuontimoduulin kautta NTLM-tiivisteiden hankkimiseksi ja käyttöoikeuden saamiseksi, joka on toinen tapa haittaohjelmien lataamiseen ja levittämiseen SMB: n kautta. Kun SMB-käyttöoikeus on saatu, se käyttää työkalua kopioimaan itsensä kohdelaitteelle ja ajaa kohteena.
Jotkut näistä toiminnoista eivät välttämättä toimi, minkä vuoksi Lemon_Duck tulee varmuuskopiointisuunnitelmien kanssa. Jos se epäonnistuu raa'an voiman tai NTLM-hajautusten avulla, se yrittää käyttää EternalBlue SMB -haavoittuvuutta päästäkseen järjestelmän käyttöoikeuksiin ja suorittaakseen palveluna kohteella. Lemon_Duck jatkuu ajoitettujen tehtävien kautta, jotka suorittavat PowerShell-skriptit ladataksesi edelleen Lemon_Duck PowerShell-komentosarjoja.
Tämä hyökkäys on haaste valmistajille, koska laitteita ei usein ole täysin paikoillaan ja niiden puhdistaminen voi olla vaikeaa, Bach sanoo. Lisäksi muut verkon koneet voivat saada ne uudelleen infektoituneiksi haittaohjelmien poistamisen jälkeen, koska Lemon_Duck on luonteeltaan leviävä nopeasti. Paikkaus on vaikeampaa toimivassa teknologiaverkossa kuin perinteisessä IT-ympäristössä.
Windows 7 -tuen loppuminen haastaa valmistajia, koska laitteita on vaikea päivittää ja niiden korvaaminen on kallista. Bach kehottaa organisaatioita aloittamaan kartoittamalla ympäristössään olevat tuotteet ja työskentelemällä kunkin yksittäisen myyjän kanssa sen selvittämiseksi, mitä on vaihdettava ja mitä on päivitettävä uuteen käyttöjärjestelmään.
Asiaan liittyvä sisältö:
Kelly Sheridan on henkilöstön toimittaja Dark Readingissa, jossa hän keskittyy kyberturvallisuusuutisiin ja -analyyseihin. Hän on yritystekniikan toimittaja, joka on aiemmin raportoinut InformationWeek-lehdessä, jossa hän käsitteli Microsoftia, ja Insurance & Technology -liiketoiminnassa, jossa hän kattoi taloudellisen… Näytä koko bio
Lisää näkemyksiä
