点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

研究人员开发了针对 PLC 可编程逻辑控制器的恶意软件，可对工控系统进行类似震网的攻击

全球首个AI蠕虫面世：可在AI系统之间自动传播

1000 万美金！美国国务院重金悬赏伊朗黑客

特别关注

研究人员开发了针对 PLC 可编程逻辑控制器的恶意软件，可对工控系统进行类似震网的攻击

标签：工控系统，恶意软件

研究人员开发了针对现代可编程逻辑控制器 (PLC) 的恶意软件，以证明可以针对此类工业控制系统 (ICS) 发起远程震网式攻击。

来自佐治亚理工学院的研究人员发表了一篇论文，详细介绍了这个 ICS 安全项目。

对于传统 PLC，攻击者可以针对控制逻辑层或固件层。固件攻击可以提供高水平的设备控制并且难以检测，但恶意软件的部署可能具有挑战性。控制逻辑恶意软件更容易部署，也更容易检测。这两种情况都要求攻击者拥有对目标组织的工业网络的特权访问权限。

就现代 PLC 而言，许多都包含 Web 服务器，并且可以通过专用 API 和用作人机界面 (HMI) 的常规 Web 浏览器来远程配置、控制和监控它们。

虽然这些现代 PLC 可以为组织提供许多好处，但佐治亚理工学院的研究人员警告说，它们也可以显着扩大 ICS 的攻击面。

为了证明这些风险，研究人员开发了所谓的基于网络的 PLC 恶意软件，该恶意软件驻留在控制器的内存中，但由 ICS 环境中配备浏览器的设备在客户端执行。该恶意软件可能会滥用 PLC 的合法 Web API，导致工业流程中断或机械损坏。

这种新的 PLC 恶意软件易于部署且难以检测。初始感染可以通过物理或网络访问目标基于 Web 的 HMI 来完成，但恶意软件也可以通过使用跨源漏洞劫持 HMI 来直接通过互联网部署。

为了实现持久性，这种新型 PLC 恶意软件利用服务工作线程，允许 JavaScript 代码深入浏览器缓存并独立于安装它的网页执行。此外，文件从服务器删除后，它们将继续运行长达 24 小时。使用这种方法，恶意软件可以在固件更新、新的基于网络的 HMI 甚至硬件更换中幸存。

一旦部署完毕，恶意软件的功能就取决于所使用的合法的基于 Web 的 API 的功能，其中一些 API 非常强大。例如，它们可用于直接覆盖输入/输出值、滥用 HMI 输入、更改设定点和安全设置、欺骗 HMI 显示、更新管理员设置，甚至用于实时数据泄露。

研究人员表示，即使目标 PLC 位于隔离网络中，恶意软件也可以具有命令和控制 (C&C) 连接。

一旦攻击者执行了所需的任务，它就可以通过让恶意软件自我毁灭来掩盖其踪迹，用良性有效负载覆盖恶意有效负载，注销所有服务，甚至可能对设备进行出厂重置。

研究人员通过开发一款名为 IronSpider 的恶意软件来展示他们的工作，该恶意软件旨在针对 Wago PLC。模拟攻击涉及当目标操作员查看特制的广告横幅时，利用以前未知的漏洞来部署恶意软件。该恶意软件可以破坏工业电机造成损坏，同时欺骗 HMI 屏幕以显示正常值并避免引起怀疑。

去年，SecurityWeek在与参与该 PLC 恶意软件项目的佐治亚理工学院研究人员之一 Ryan Pickren 交谈后 描述了一些Wago PLC 漏洞。

IronSpider 与十多年前针对伊朗核计划的臭名昭著的 Stuxnet 恶意软件进行了比较。

“Stuxnet 通过修改控制铀浓缩离心机的变频驱动器的模拟输出信号来破坏伊朗核设施。这次破坏的直接结果是 1,000 多台离心机被物理破坏，设施的运行能力下降了 30%。”研究人员在论文中表示。

他们补充道：“我们的原型恶意软件 IronSpider 能够使用截然不同的方法实现基本相似的攻击。Stuxnet 通过控制逻辑恶意软件攻击 PLC，并通过受感染的工程工作站部署这些恶意软件 […]。然而，IronSpider 使用基于网络的恶意软件，并通过恶意网站部署该恶意软件，而无需损害任何外围系统。”

虽然该攻击针对的是 Wago 产品，但研究人员确定此类 PLC 恶意软件也可用于攻击西门子、艾默生、施耐德电气、三菱电机和 Allen Bradley PLC。针对这些控制器的攻击涉及利用新发现或先前已知的漏洞。在某些情况下，攻击需要 FTP 密码、不安全协议或内部人员。

专家们创建了一个与供应商无关的框架，可用于构建和分析基于 Web 的 PLC 恶意软件。

“该框架使用广泛适用的策略来探索每个阶段，这些策略可用于大多数现代 PLC 模型，并概述了恶意前端代码如何通过有条不紊地损害 PLC 的 Web 属性来破坏 ICS 环境的完整性。该框架可以用作任何 PLC 供应商和模型的未来研究的基准。”研究人员解释道。

信源：https://hackernews.cc/archives/50401

安全资讯

全球首个AI蠕虫面世：可在AI系统之间自动传播

标签：蠕虫病毒，AI

编译：代码卫士

研究人员开发出首个第一代生成式AI蠕虫，名为 “Morris II”，它能够自动在AI系统之间传播。

这种新型网络攻击，让人回忆起1988年对互联网造成重大破坏的初代Morris 蠕虫的，凸显了网络安全威胁局势中的一个潜在变化。

这项研究由康奈尔大学纽约科技校区研究员 Ben Nassi与另外两名研究员 Stav Cohen 和 Ron Bitton 共同牵头开展，展示了该蠕虫的能力即渗透生成式AI邮件助手、提取数据和分垃圾邮件，从而攻陷声名鹊起的AI模型如 ChatGPT 和 Gemini 的安全措施。

生成式AI的崛起和漏洞的增多

随着生成式AI系统如 OpenAI 公司的 ChatGPT 和谷歌 Gemini 变得越来越强大且集成到多种应用中，这些系统被利用的可能性也在不断提升。

研究人员创建的 Morris II 蠕虫凸显了利用AI生态系统互联性和自动化的新型网络威胁。媒体Wired报道称，首批生成式AI蠕虫已开发完毕。这些蠕虫可能会从一个系统传播到另一个系统，甚至可能在此过程中窃取数据或部署恶意软件。通过应用对抗性自复制提示，该蠕虫可通过AI系统进行传播，劫持这些系统执行未授权操作如数据盗取和恶意软件部署。

这类蠕虫影响深远，为依赖于生成式AI系统的初创企业、开发人员和技术公司带来重大风险。该蠕虫能够躲避检测，在不同的AI系统中自动传播，这就为网络攻击引入一个新的向量，为现有的安全模型带来挑战。

安全专家和研究人员强调了这些攻击的合理性以及开发社区认真对待这些威胁的紧迫性。

缓解威胁

尽管AI蠕虫潜力强大，但安全专家认为传统的安全措施和谨慎的应用设计可缓解这些风险。

从事AI企业安全业务的威胁研究员 Adam Swanda 提倡安全的应用设计和AI运营中人工疏忽的重要性。越权风险可通过确保AI系统不会在未获得明确同意的情况下执行操作会得到大大减少。另外，监控异常模式如在AI系统中的重复性提示有助于在早期检测到潜在威胁。

Ben Nassi及其团队还强调了创建AI助手的开发人员和企业意识提升的重要性。了解这些风险并执行健壮的安全措施对于防止生成式AI系统的利用至关重要。

这一研究呼吁AI开发社区在设计和部署AI生态系统中优先考虑安全的重要性。Morris II蠕虫的开发是评估网络威胁流程中的重要时刻，强调了生成式AI系统的内在漏洞。随着AI对技术和日常生活的影响日益加剧，全面的安全策略也变得愈发重要。通过提升意识和采取主动的安全措施，AI开发社区可防御AI蠕虫的威胁并确保生成式AI技术能得到安全、负责任的使用。

信源：https://gbhackers.com/created-ai-worm/

1000 万美金！美国国务院重金悬赏伊朗黑客

标签：国际动态

美国司法部周五公布了对一名伊朗国民的起诉，指控他参与了一场旨在损害美国政府和私人实体的多年网络活动。

据说有十几个实体成为袭击目标，其中包括美国财政部和国务院、支持美国国防部项目的国防承包商，以及一家总部位于纽约的会计师事务所和一家酒店公司。

39岁的Alireza Shafie Nasab自称是一家名为Mahak Rayan Afraz的公司的网络安全专家，同时至少在2016年左右至2021年4月左右参与了一场针对美国的持续运动。

美国南方检察官达米安·威廉姆斯表示：“正如所称，Alireza Shafie Nasab参与了一场网络活动，使用鱼叉式网络钓鱼和其他黑客技术感染了20多万台受害者设备，其中许多设备包含敏感或机密的国防信息。”

在一个例子中，威胁行为者侵入了一个属于未具名国防承包商的管理员电子邮件帐户，随后利用该帐户创建流氓帐户，并向另一个国防承包商和一家咨询公司的员工发送鱼叉式网络钓鱼电子邮件。

除了鱼叉式网络钓鱼攻击之外，共谋者还伪装成其他人，通常是女性，以获得受害者的信任，并将恶意软件部署到受害者的计算机上。

Nasab在为幌子的公司工作期间，据信负责使用窃取的真实身份来注册服务器和电子邮件帐户，从而获得活动中使用的基础设施。

他被指控犯有一项共谋计算机欺诈罪、一项共谋电信欺诈罪、另一项电信欺诈罪和一项严重身份盗窃罪。如果所有罪名成立，Nasab可能面临最高47年的监禁。

虽然Nasab仍然在逃，但美国国务院宣布悬赏高达1000万美元，以获取有关Nasab身份或位置的信息。

Mahak Rayan Afraz (MRA)于2021年7月首次被Meta曝光，该公司是一家总部位于德黑兰的公司，与负责捍卫伊朗革命政权的伊朗武装部队伊斯兰革命卫队(IRGC)有联系。

该活动集群与Tortoiseshell也有重叠，此前曾被认为与精心设计的社会工程活动有关，包括在Facebook上假扮成健美操教练，试图用恶意软件感染某航空航天国防承包商员工的机器。

这一事态发展之际，德国执法部门宣布取缔Crimemarket，这是一个德语非法交易平台，拥有超过18万用户，专门从事毒品、武器、洗钱和其他犯罪服务的销售。

与此次行动有关的六人已被逮捕，其中包括一名23岁的主要嫌疑人，当局还缴获了手机、IT设备、一公斤大麻、摇头丸和60万欧元现金。

信源：https://hackernews.cc/archives/50397

资讯来自全球范围内媒体报道

版权归作者所有
文章内容仅代表作者独立观点

不代表网络盾牌立场
转载目的在于传递更多信息

如有侵权，请公众号后台联系 

一键四连

原文始发于微信公众号（网络盾牌）：0306-研究人员开发了针对 PLC 可编程逻辑控制器的恶意软件，可对工控系统进行类似震网的攻击-美国国务院重金悬赏伊朗黑客