マルチライセンス割引
Threat Database Malware COSMICENERGY マルウェア

COSMICENERGY マルウェア

MalwareMezoまで
翻訳内容:
日本語

COSMICENERGY として知られる新たに特定されたマルウェアが、サイバーセキュリティ研究者の注目を集めています。このマルウェアは特に運用技術 (OT) と産業用制御システム (ICS) をターゲットにしており、電力インフラストラクチャに混乱を引き起こすことに焦点を当てています。これは、IEC 60870-5-104 (IEC-104) デバイス、特にヨーロッパ、中東、アジアの送電および配電業務で一般的に使用されるリモート端末ユニット (RTU) の脆弱性を悪用することで実現されます。

研究者らは COSMICENERGY を分析した結果、その機能がINDUSTROYERINDUSTROYER.V2などのマルウェアに関連する以前のインシデントで観察されたものと非常に似ていることを発見しました。これらの過去のマルウェア亜種は、IEC-104 プロトコルを悪用して送電および配電システムを妨害するように特別に設計されていました。

COSMICENERGY の出現は、OT の領域で攻撃能力を開発するための参入障壁が減少しているという懸念すべき傾向を浮き彫りにしています。悪意のある攻撃者は、これまでの攻撃から得た知識を利用して、新しく洗練されたマルウェアを作成し、重要なインフラストラクチャに重大なリスクをもたらしています。

COSMICENERGY マルウェアの侵入能力

COSMICENERGY マルウェアは、その機能と攻撃戦略の点で 2016 年の INDUSTROYER 事件と類似点があります。 INDUSTROYER を彷彿とさせる方法で、COSMICENERGY は IEC-104 ON/OFF コマンドを利用してリモート端末装置 (RTU) と対話し、運用技術 (OT) インフラストラクチャにアクセスするための導管システムとして MSSQL サーバーを使用する可能性があります。攻撃者はこのアクセス権を取得すると、電力線スイッチや回路ブレーカーを遠隔操作して、停電を引き起こすことができます。 COSMICENERGY は、PIEHOP と LIGHTWORK という 2 つの主要なコンポーネントで構成されています。

PIEHOP は Python で記述され、PyInstaller にパッケージ化されており、破壊ツールとして機能します。ユーザーが指定したリモート MSSQL サーバーとの接続を確立でき、ファイルのアップロードや RTU へのリモート コマンドの発行が可能になります。 PIEHOP は、LIGHTWORK に依存して IEC-104 コマンド、具体的には「ON」または「OFF」をターゲット システムに送信します。コマンドの発行後、実行可能ファイルはすぐに削除されます。ただし、取得した PIEHOP のサンプルにはプログラミング ロジック エラーがあり、IEC-104 制御機能を正常に実行できません。それにもかかわらず、研究者らは、これらのエラーは脅威の開発者によって簡単に修正できると考えています。

一方、C++ で書かれた LIGHTWORK は、IEC-104 プロトコルを実装して TCP 経由で RTU の状態を変更する中断ツールとして機能します。カスタマイズ可能な IEC-104 アプリケーション サービス データ ユニット (ASDU) メッセージを作成して、RTU 情報オブジェクト アドレス (IOA) の状態を「オン」または「オフ」に変更します。 LIGHTWORK は、位置コマンドライン引数を利用して、ターゲットデバイス、ポート、および IEC-104 コマンドを指定します。

COSMICENERGY には検出機能が著しく欠如しており、マルウェア オペレーターが攻撃を開始する前に内部偵察を行う必要があることを示しています。この偵察フェーズには、MSSQL サーバーの IP アドレス、MSSQL 資格情報、対象となる IEC-104 デバイスの IP アドレスなど、特定の環境情報の収集が含まれます。

COSMICENERGY と他のマルウェア脅威の類似点

COSMICENERGY は既知のマルウェア ファミリとは異なりますが、その機能は以前のインシデントで観察されたものと顕著な類似性を示しています。特に研究者らは、COSMICENERGY と INDUSTROYER および INDUSTROYER.V2 マルウェア亜種との間に顕著な類似点があることに注目しています。これらのマルウェア亜種はどちらも以前に送電および配電システムを妨害するために導入されていました。

INDUSTROYER との類似点に加えて、COSMICENERGY は他のオペレーショナル テクノロジー (OT) マルウェア ファミリと技術的特徴を共有しています。これらの類似点には、開発またはパッケージ化での Python の使用と、OT プロトコルの実装でのオープンソース ライブラリの利用が含まれます。これらの技術的な類似性を示す注目すべき OT マルウェア ファミリには、IRONGATE、 TRITON 、INCONTROLLER などがあります。

これらの類似点を調べることで、セキュリティ専門家は COSMICENERGY に関連する潜在的な起源、技術、および影響についてより深く理解できるようになります。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...