새로운 악성소프트웨어, 산업 제어 시스템의 중요 엔지니어링 과정에 위협을 가하다

Forescout Research는 운영 기술(OT) 및 산업 제어 시스템(ICS)의 엔지니어링 워크스테이션을 대상으로 하는 증가하는 위협을 식별하였습니다.

화요일에 발표된 분석은 이러한 작업장을 대상으로 한 악성 소프트웨어가 점점 더 흔해지고 있다는 사실을 강조하고 있습니다.

이 연구는 VirusTotal에서 발견된 악성 코드에 초점을 맞추었으며, 이에는 람닛 웜으로 감염된 미쓰비시 엔지니어링 워크스테이션 사건과, 시멘스 엔지니어링 프로세스를 방해하는 새로운 실험적인 악성 코드인 Chaya_003이 포함되었습니다.

OT(운영 기술) 특화형 악성 코드는 기업 소프트웨어나 모바일 운영 체제에 대한 공격보다는 덜 흔하지만, 산업 환경에서의 보안 운영자들에게는 중요한 우려사항입니다.

중요한 인프라를 통제하고 모니터링하는 데 중추적 역할을 하는 공학 워크스테이션은 이런 종류의 공격에 대한 주요 대상입니다. SANS 인스티튜트의 보고서에 따르면, 공학 워크스테이션의 침해는 주요 공격 경로로, OT 시스템 사건의 20% 이상을 차지하고 있습니다.

Forescout의 분석은 Windows와 같은 전통적인 운영 체제와 Siemens TIA Portal, Mitsubishi GX Works와 같은 특화된 공학 소프트웨어를 실행하는 공학 워크스테이션을 대상으로 한 악성 소프트웨어를 중점적으로 조사했습니다.

이 연구에서는 이러한 작업 스테이션을 대상으로 하는 악성 소프트웨어의 두 가지 주요 군집을 발견했습니다. 한 경우에는 미쓰비시 GX Works 실행 파일이 람닛 웜으로 두 번의 별도 사건에서 감염되었습니다. 두 번째는 새로운 악성 소프트웨어 변종인 Chaya_003의 세 가지 샘플이 특별히 시멘스 엔지니어링 프로세스를 종료하도록 설계되었습니다.

처음에는 은행 자격 증명을 대상으로 했던 악성 코드인 람닛은 OT 시스템을 감염시킬 수 있는 더욱 정교한 플랫폼으로 발전했습니다. 최근 Forescout의 조사 결과에 따르면, 람닛은 OT 네트워크에 지속적인 위협을 가하고 있습니다.

이 멀웨어는 USB 드라이브와 같은 손상된 물리적 장치 또는 보안이 취약한 네트워크 시스템을 통해 퍼질 수 있습니다. 이러한 감염의 구체적인 벡터는 아직 명확하지 않지만, 이 멀웨어가 OT 환경에 계속 영향을 미치는 것은 분명합니다.

반면에 Chaya_003는 새롭고 진화하는 위협을 대표합니다. 이 멀웨어의 주요 기능에는 중요한 엔지니어링 프로세스를 종료하는 것이 포함되어 있습니다. 그 디자인은 합법적인 시스템 프로세스로 위장하여 보안 소프트웨어의 감지를 피하려는 의도적인 시도를 시사합니다.

Forescout는 이 멀웨어가 Discord 웹훅과 같은 합법적인 서비스에 의존하는 명령 및 제어(C2) 인프라를 통해 전달된다고 말합니다. 이로 인해 감지하기가 더 어려워집니다.

이 연구는 이러한 유형의 공격을 방지하기 위해 엔지니어링 작업장의 보안을 강화하는 것의 중요성을 강조합니다. 권장 사항으로는 정기적인 소프트웨어 업데이트, 견고한 엔드포인트 보호 구현, 그리고 중요 시스템에 대한 접근을 제한하기 위한 네트워크 세분화가 포함됩니다.

이러한 공격의 세 sophistication가 증가함에 따라, 생성 AI 도구의 이용 가능성이 증가함에 따라, OT 섹터에서의 능동적인 보안 조치의 필요성이 부각되고 있습니다.

Forescout의 연구는 또한 엔지니어링 과정을 대상으로 한 악성 코드가 더욱 접근하기 쉬워짐에 따라, 덜 숙련된 공격자와 더욱 고급 공격자 사이의 경계가 흐려져, 단순하고 매우 정교한 위협을 구분하는 것이 점점 어려워진다고 경고하고 있습니다.