Aggregator

Kata Containers is an open-source project dedicated to creating a secure container runtime that combines the performance and simplicity of containers with the enhanced isolation of lightweight virtual machines. By leveraging hardware virtualization technology, it adds an extra layer of defense to ensure stronger workload isolation. “The original motivation behind creating the Kata Containers open-source container runtime was to overcome challenges that traditional containers are facing by design. Using namespaces doesn’t provide a strong barrier … More →

The post Kata Containers: Open-source container runtime, building lightweight VMs appeared first on Help Net Security.

72% of security leaders agree that the age of AI necessitates a complete reset of how organizations approach application security, according to Cycode. This urgency is reinforced by the fact that 93 billion lines of code were generated in the past year alone, driven in large part by GenAI. This explosion of code is clearly overwhelming security teams, with 73% of security leaders confirming that “code is everywhere.” “IDC’s latest DevSecOps research highlights that insecure … More →

The post CISOs don’t invest enough in code security appeared first on Help Net Security.

This article presents key findings from 2024 reports on data breaches. Breaches are taking longer to resolve and are becoming more costly for organizations. With recovery times extending and costs increasing, businesses face growing challenges in managing the aftermath. Full recovery from breaches takes longer than expected In 2024, businesses reported taking an average of 7.3 months to recover from cybersecurity breaches – 25% longer than expected and over a month past the anticipated timeline of 5.9 … More →

The post The real cost of data breaches for businesses appeared first on Help Net Security.

伊朗恶意分子正在利用名为 IOCONTROL 的新恶意软件来破坏以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。

目标设备包括路由器、可编程逻辑控制器 (PLC)、人机界面 (HMI)、IP 摄像头、防火墙和燃料管理系统。该恶意软件的模块化特性使其能够危害不同制造商的各种设备，包括 D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika 和 Unitronics。

Claroty 的 Team82 研究人员发现了 IOCONTROL 并对其进行了采样进行分析，他们报告说，这是一种民族国家网络武器，可以对关键基础设施造成严重破坏。

鉴于持续的地缘政治冲突，IOCONTROL 目前用于针对以色列和美国的系统，例如 Orpak 和 Gasboy 燃料管理系统。据报道，该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关，该组织过去曾对攻击工业系统表现出兴趣。

OpenAI 最近还报告称，该威胁组织使用 ChatGPT 来破解 PLC、开发自定义 bash 和 Python 漏洞利用脚本，并计划入侵。

IOCONTROL 攻击

Claroty 从 Gasboy 燃油控制系统中提取了恶意软件样本，特别是该设备的支付终端 (OrPT)，但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。

在这些设备内部，IOCONTROL 可以控制泵、支付终端和其他外围系统，从而可能导致中断或数据被盗。

威胁者在 Telegram 上声称破坏了以色列和美国的 200 个加油站，这与 Claroty 的调查结果一致。这些攻击发生在 2023 年末，大约与水处理设施中的 Unitronics Vision PLC/HMI 设备遭到破坏的时间相同，但研究人员报告称，新的攻击活动于 2024 年中期出现。截至 2024 年 12 月 10 日，66 个 VirusTotal 防病毒引擎均未检测到 UPX 打包的恶意软件二进制文件。

Gasboy 燃油控制系统是从中提取恶意软件的地方

恶意软件功能

该恶意软件以“iocontrol”名称存储在“/usr/bin/”目录中，使用模块化配置来适应不同的供应商和设备类型，针对广泛的系统架构。它使用持久性脚本（“S93InitSystemd.sh”）在系统启动时执行恶意软件进程（“iocontrol”），因此重新启动设备不会将其停用。

它通过端口 8883 使用 MQTT 协议与其命令和控制 (C2) 服务器进行通信，这是物联网设备的标准通道和协议。唯一的设备 ID 嵌入到 MQTT 凭证中，以实现更好的控制。

DNS over HTTPS (DoH) 用于解析 C2 域，同时规避网络流量监控工具，并且恶意软件的配置使用 AES-256-CBC 进行加密。

IOCONTROL 支持的命令如下：

·发送“hello”：向C2报告详细的系统信息（例如主机名、当前用户、设备型号）。

·检查执行：确认恶意软件二进制文件已正确安装且可执行。

·执行命令：通过系统调用运行任意操作系统命令并报告输出。

·自删除：删除自己的二进制文件、脚本和日志以逃避检测。

·端口扫描：扫描指定的 IP 范围和端口以识别其他潜在目标。

上述命令是使用从“libc”库动态检索的系统调用执行的，并将输出写入临时文件以进行报告。

简化的攻击流程

鉴于 IOCONTROL 目标在关键基础设施中的作用以及该组织的持续活动，Claroty 的报告为防御者提供了宝贵的资源，可以帮助他们识别和阻止威胁。