黑客向工业系统分发PLC 和 HMI 的密码破解工具，借此夺取PLC控制权

IndustrialengineersandoperatorsarethetargetofanewcampaignthatleveragespasswordcrackingsoftwaretoseizecontrolofProgrammableLogicControllers(PLCs)andco-optthemachinestoabotnet.

工业工程师和操作员是一项新活动的目标，该活动利用密码破解软件夺取可编程逻辑控制器(PLC)的控制权，并将机器加入僵尸网络。

Thesoftware"exploitedavulnerabilityinthefirmwarewhichallowedittoretrievethepasswordoncommand,"DragossecurityresearcherSamHansonsaid."Further,thesoftwarewasamalwaredropper,infectingthemachinewiththeSalitymalwareandturningthehostintoapeerinSality'speer-to-peerbotnet."

Dragos安全研究员SamHanson说，该软件“利用了固件中的一个漏洞，使其能够根据命令检索密码。此外，该软件是一个恶意软件植入程序，用Sality恶意软件感染机器，并将主机变成Sality僵尸网络中的对等节点。”

TheindustrialcybersecurityfirmsaidthepasswordretrievalexploitembeddedinthemalwaredropperisdesignedtorecoverthecredentialassociatedwithAutomationDirectDirectLOGIC06PLC.

这家工业网络安全公司表示，嵌入在恶意软件释放器中的密码检索漏洞旨在恢复与AutomationDirectDirectLOGIC06PLC相关的凭证。

Theexploit,trackedasCVE-2022-2003(CVSSscore:7.7),hasbeescribedasacaseofcleartexttransmissionofsensitiv

该漏洞被跟踪为CVE-2022-2003（CVSS分数：7.7），被描述为敏感数据的明文传输案例，可能导致信息泄露和未经授权的更改。该问题已在上个月发布的固件版本2.72中得到解决。

TheinfectionsculminateinthedeploymentoftheSalitymalwareforcarryingouttaskssuchascryptocurrencyminingandpasswordcrackinginadistributedfashion,whilealsotakingstepstoremainundetectedbyterminatingsecuritysoftwarerunninginthecompromisedworkstations.

感染的终极目的是部署Sality恶意软件，以分布式方式执行加密货币挖掘和密码破解等任务，同时还采取措施通过终止受感染工作站中运行的安全软件来保持不被发现。

What'smore,theartifactunearthedbyDragosfunctionsdropsacrypto-clipperpayloadthatstealscryptocurrencyduringatransactionbysubstitutingtheoriginalwalletaddresssavedintheclipboardwiththeattacker'swalletaddress.

更重要的是，Dragos功能挖掘出的工件丢弃了一个加密剪辑器有效负载，该有效负载通过将保存在剪贴板中的原始钱包地址替换为攻击者的钱包地址来窃取交易期间的加密货币。

AutomationDirectisnottheonlyvorimpactedasthetoolclaimtoencompassseveralPLCs,HMIs,human-machineinterface(HMI),andprojectfilesspanningOmron,Siemens,ABBCodesys,DeltaAutomation,FujiElectric,MitsubishiElectric,SchneiderElectric'sPro-face,VigorPLC,Weintek,RockwellAutomation'sAllen-Bradley,Panasonic,Fatek,IDECCorporation,andLG.

AutomationDirect不是唯一受影响的供应商，因为该工具声称包含多个PLC、HMI、人机界面(HMI)和Omron、Siemens、ABBCodesys、DeltaAutomation、富士电机、三菱电机、施耐德电气Pro的项目文件-face、VigorPLC、Weintek、罗克韦尔自动化的Allen-Bradley、松下、Fatek、IDECCorporation和LG。

Thisisfarfromthefirsttimetrojanizedsoftwarehassingledoutoperationaltechnology(OT),MandiantdisclosedhowlegitimateportableexecutablebinariesarebeingcompromisedbyavarietyofmalwaresuchasSality,Virut,andRamnit,amongothers.

这远非木马软件第一次单独挑中运营技术(OT)网络。2021年10月，Mandiant披露了合法的可移植可执行二进制文件如何被Sality、Virut和Ramnit等各种恶意软件破坏。

甚爱必大费，多藏必厚亡。知足不辱，知止不殆，可以长久。

——《道德经.第四十四章》

本文翻译自：

如若转载，请注明原文地址

翻译水平有限:(

有歧义的地方，请以原文为准：