黑客向目标工业系统分发PLC和HMI密码破解工具

工业工程师和操作员是一项新活动的目标，该活动利用密码破解软件来控制可编程逻辑控制器（PLC），并将机器加入僵尸网络。

Dragos安全研究员萨姆·汉森（SamHanson）说，该软件“利用了固件中的一个漏洞，使其能够根据命令检索密码”。“此外，该软件是一个恶意软件滴管，用病毒感染机器显著性恶意软件，并将主机变成Sality对等僵尸网络中的对等"。

这家工业网络安全公司表示，恶意软件滴管中嵌入的密码检索漏洞旨在恢复与Automation DirectLOGIC 06 PLC相关的凭据。

该漏洞被追踪为CVE-2022-2003（CVSS分数：7.7），被描述为敏感数据的明文传输案例，可能导致信息披露和未经授权的更改。上个月发布的固件版本2.72解决了这个问题。

感染最终导致部署Sality恶意软件，以分布式方式执行加密货币挖掘和密码破解等任务，同时采取措施通过终止在受损工作站中运行的安全软件来保持未被发现。

此外，Dragos发现的文物丢弃了一个crypto-clipper负载，该负载在交易过程中通过将保存在剪贴板中的原始钱包地址替换为攻击者的钱包地址来窃取加密货币。

Automation Direct并不是唯一受到影响的供应商，因为这些工具声称包括欧姆龙、西门子、ABB Codesys、Delta Automation、富士电气、三菱电气、施耐德电气的Pro face、活力PLC、Weintek、罗克韦尔自动化的Allen Bradley、松下、Fatek、IDEC Corporation和LG等多个PLC、人机界面（HMI）和项目文件。

“总的来说，这类软件似乎有一个生态系统，”汉森指出，并将攻击归因于一个可能出于经济动机的对手。“有几个网站和多个社交媒体账户都在兜售他们的密码‘破解者”。

这远非特洛伊木马软件第一次挑出操作技术（OT）网络。2021 10月，Mandiant披露了合法的可移植可执行二进制文件是如何被Sality、Virut和Ramnit等多种恶意软件破坏的。