工控系統謹防PLC和HMI的密碼破解軟件

Dragos 安全研究員 Sam Hanson說：“該軟件利用了固件中的一個漏洞，使其能夠根據命令檢索密碼。此外，該軟件是一個惡意軟件植入程序，利用Sality惡意軟件感染設備，并將主機變成 Sality對等僵尸網絡中的對等節點。”

這家工業網絡安全公司表示，嵌在惡意軟件釋放器中的密碼檢索漏洞旨在恢復與 Automation Direct-DirectLOGIC 06 PLC相關的憑證。

該漏洞編號為 CVE-2022-2003（CVSS 分數：7.7），被稱為敏感數據的明文傳輸案例，可能導致信息泄露和未授權更改。該漏洞已在上個月發布的固件版本 2.72 中得到修復。

感染設備的關鍵點是部署Sality惡意軟件，以分布式方式執行加密貨幣挖掘和密碼破解等任務，同時還通過關閉感染系統中運行的安全軟件的方式以免被發現。

更重要的是，Dragos 發現其網絡工件遺留了一個加密剪輯器有效負載，通過將保存在剪貼板中的原始錢包地址替換為攻擊者的錢包地址，該有效負載可以竊取交易期間的加密貨幣。

Automation Direct不是唯一受影響的供應商。據說，該工具覆蓋多個PLC、HMI、人機界面 ( HMI ) ，涉及歐姆龍、西門子、ABB Codesys、臺達自動化產品、富士電機、三菱電機、施耐德電氣Pro-face的項目文件、Vigor PLC、威綸、羅克韋爾自動化的 Allen-Bradley、松下、永宏電機、IDEC 企業和LG眾多企業。

這遠非木馬軟件第一次選中運營技術 (OT) 網絡。2021 年 10 月，Mandiant披露了 Sality、Virut 和 Ramnit 等各種惡意軟件如何感染合法的可移植可執行的二進制文件。