İsrail ve ABD’deki yakıt yönetim sistemleri ve su arıtma tesisleri de dahil olmak üzere kritik altyapıyı hedef alan son siber saldırılar, İran destekli CyberAv3ngers’a atfediliyor.
IOCONTROL adlı özel olarak oluşturulmuş kötü amaçlı yazılımdan yararlanan saldırılar, yönlendiriciler, PLC’ler, HMI’lar ve güvenlik duvarları gibi IoT ve OT cihazlarındaki güvenlik açıklarından yararlanıyor.
Çeşitli platformlarda çalışacak şekilde tasarlanan kötü amaçlı yazılım, saldırganların komuta ve kontrol altyapısıyla gizli iletişim kurmak için MQTT protokolünü kullanıyor ve jeopolitik ve stratejik amaçlarla kritik altyapıyı hedef alan ulus devlet aktörlerinin artan tehdidine dikkat çekiyor.
Muhtemelen Ekim 2023’ün ortasında, saldırganların bir Gasboy ödeme terminali (OrPT) aracılığıyla erişim elde ettiği ve İsrail ve ABD’deki 200 benzin istasyonunu hedef aldığı, benzin istasyonu operasyonlarını kesintiye uğratabilecek ve hırsızlık yapabilecek şekilde Orpak yakıt yönetim sistemlerini IOCONTROL kötü amaçlı yazılımıyla tehlikeye attılar. kredi kartı bilgileri.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide
Saldırganlar etki alanını komuta ve kontrol için kullandı. İlk saldırılar 2023’ün sonlarında gerçekleşmiş olsa da, IOCONTROL örnekleri 2024’ün Temmuz ve Ağustos aylarında faaliyetlerin yenilendiğini gösteriyor.
Orpak Akaryakıt Sistemleri’ne yönlendirilen IOCONTROL zararlı yazılımı örneği üzerinde analiz yapmak amacıyla statik ve dinamik analiz yöntemlerinin bir kombinasyonu kullanıldı.
Arkaik mimarisi ve potansiyel olarak kötü niyetli davranışları nedeniyle, örneği kontrollü bir ortamda yürütmek ve paketinden çıkarmak için Unicorn kullanan emülasyon kullanıldı. Kötü amaçlı yazılımın, kodunu gizlemek için UPX paketleyicisinin değiştirilmiş bir sürümünü kullandığı tespit edildi.
Şifrelenmiş yapılandırmanın şifresi, aynı zamanda kurban için benzersiz bir tanımlayıcı görevi gören ve diğer yapılandırma parametrelerini oluşturmak için kullanılan sabit kodlu bir GUID’den türetilen bir anahtar ve IV ile AES-256-CBC kullanılarak çözüldü.
IOCONTROL kötü amaçlı yazılımı, Cloudflare sunucularındaki C2 ana bilgisayar adını gizlice çözümlemek için DoH (HTTPS üzerinden DNS) kullanıyor ve ağ trafiği izleme araçları tarafından tespit edilmekten kaçınıyor.
Kötü amaçlı yazılım, bir önyükleme komut dosyası ekleyerek kalıcılık sağlar ve kendisini /usr/bin dosyasında “iocontrol” olarak saklar. Daha sonra 8883 numaralı bağlantı noktasındaki MQTT protokolünü kullanarak C2’ye bağlanır ve GUID’den türetilmiş bir istemci kimliği, kullanıcı adı ve parolayla kimlik doğrulaması yapar.
Bağlantı kurulduğunda, işletim sistemi komutları aracılığıyla toplanan, etkilenen cihaz hakkında ayrıntılı bilgiler içeren bir “merhaba” mesajı gönderir ve kötü amaçlı yazılım, C2’den yürütülmek üzere komutlar almak üzere belirli bir MQTT konusuna abone olur.
Team 82’ye göre, MQTT üzerinden C2 ile iletişim kuran gömülü Linux cihazlarını hedefliyor ve uzaktan kod yürütme, kendi kendini silme ve bağlantı noktası tarama gibi komutları yürütüyor.
Kötü amaçlı yazılım cihazda varlığını sürdürüyor ve değiştirilmiş UPX paketleme ve HTTPS üzerinden DNS gibi gizli teknikler kullanıyor; birden fazla satıcının çeşitli IoT ve SCADA cihazlarına bulaşarak endüstriyel kontrol sistemleri için önemli bir tehdit oluşturuyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin