Cosmic Energy:一款专为红队攻防开发的新型OT恶意软件
💡
原文中文,约6500字,阅读约需16分钟。
📝
内容提要
网络安全公司Mandiant发现了一种针对新型操作技术(OT)/工业控制系统(ICS)的恶意软件COSMICENERGY,可能是由俄罗斯网络安全公司Rostelecom-Solar或关联方开发的。COSMICENERGY可以与远程终端单元(RTU)和其他OT设备交互,实现中断电力的目的。安全人员提供了发现和预防COSMICENERGY的方法,包括建立基于主机的日志收集和聚合,识别并调查未经授权的Python打包可执行文件等。此外,安全人员指出了未来OT恶意软件可能的趋势,如滥用不安全的协议、使用开源库实现协议、使用Python开发和/打包恶意软件等。
🎯
关键要点
- Mandiant发现了一种针对新型操作技术(OT)/工业控制系统(ICS)的恶意软件COSMICENERGY,可能由俄罗斯网络安全公司Rostelecom-Solar开发。
- COSMICENERGY能够与远程终端单元(RTU)和其他OT设备交互,导致电力中断。
- COSMICENERGY与之前的OT恶意软件在技术上有显著相似之处,尤其是与INDUSTROYER事件相关的功能。
- 该恶意软件的发现突显了OT威胁领域的显著发展,攻击者利用不安全的设计特征进行攻击。
- 安全人员建议OT防御者采取措施监测和防范COSMICENERGY的威胁。
- COSMICENERGY的分析显示其可能与俄罗斯的电力应急演练有关,可能用于模拟真实攻击场景。
- COSMICENERGY与其他OT恶意软件在技术上有相似之处,可能会影响未来的OT恶意软件发展趋势。
- 安全人员提供了发现和预防COSMICENERGY的方法,包括监控Python脚本和未经授权的代码执行等。
🏷️
标签
➡️
