“Iocontrol” olarak adlandırılan yeni tanımlanmış bir kötü amaçlı yazılım suşu, özellikle ABD ve İsrail’de yakıt yönetimi altyapısını hedefleyen Operasyonel Teknoloji (OT) ve Nesnelerin İnterneti (IoT) sistemleri için kritik bir tehdit olarak ortaya çıkmıştır.
İlk olarak Aralık 2024’te gözlemlenen bu Linux tabanlı kötü amaçlı yazılım, tarihsel olarak İsrail karşıtı siber kampanyaları sürdüren İran yanlısı Hacktivist grup Cyber AV3ngers ile bağlantılıdır.
İlk saldırılar, kritik sistemlere sızmak ve tehdit aktörlerinin kalıcı uzaktan erişim kurmalarını, endüstriyel süreçleri manipüle etmelerini ve hassas operasyonel verileri söndürmesini sağlamak için, kimlik gerçeğinde yıllık% 33’lük bir artışın bir parçası olan uzlaşmış kimlik bilgilerinden yararlanmıştır.
Flashpoint analistleri, UPX dolu ikili dosyaları, şifreli komut ve kontrol (C2) iletişimini ve kaynak kısıtlı IoT ortamları için uyarlanmış gözetim yeteneklerini birleştiren Iocontrol’in modüler mimarisini tanımladı.
Kötü amaçlı yazılım, geleneksel ağ izleme araçlarını atlamak için IoT ekosistemlerinde yaygın olan hafif bir mesajlaşma standardı olan MQTT protokolünü kullanarak öncelikle internete maruz kalan endüstriyel kontrol sistemlerindeki (ICS) güvenlik açıklarından yararlanır.
Yakıt dağıtım ağlarına yönelik saldırılara konuşlandırılması, Orta Doğu’daki artan jeopolitik gerginliklerin ortasında kritik altyapıya yönelik risklerin arttığını vurgulamaktadır.
Teknik genel bakış ve kalıcılık mekanizmaları
Iocontrol, statik analizi engellemek için ikili sihir değerlerini değiştiren değiştirilmiş bir UPX paketleyicisiyle başlayarak sofistike kaçış taktikleri kullanır.
.webp)
Standart UPX yardımcı programları, bu değişiklikler nedeniyle kötü amaçlı yazılımları açamasa da, Flashpoint araştırmacıları sihir baytlarını (00 00 00 00 00 00 00 02 00 34 00 20 00 02 00 34) başarılı dekompresyon sağlar.
Uygulandıktan sonra, kötü amaçlı yazılım kendisini bellekte açar ve çok aşamalı bir işlemle kalıcılık oluşturur:-
- Dizin oluşturma: İocontrol iki dizin oluşturur –
/tmp/iocontrol/Ve/etc/rc3.d– İzinleri tam olarak okumak, yazmak ve yürütmek. Bunlar, yükleri sahnelemek ve yeniden başlatmalar arasında kalıcılığı korumak için operasyonel merkezler olarak hizmet eder. - Başlangıç komut dosyası enjeksiyonu: Bir bash betiği yazılır
/etc/rc3.d/S99iocontrolsistem başlangıçta yürütülmeyi sağlamak. Komut dosyası, sonlandırılırsa kötü amaçlı yazılımları yeniden başlatmak için WatchDog işlevselliği içerir:
#!/bin/sh
/usr/bin/iocontrol >/dev/null 2>&1 &
while true; do
if ! pgrep -x "iocontrol" >/dev/null; then
/usr/bin/iocontrol >/dev/null 2>&1 &
fi
sleep 60
doneBu mekanizma, güvenlik araçları ilk yürütmeyi kesintiye uğratsa bile sürekli çalışma sağlar.
- C2 İletişim: Kötü amaçlı yazılım, C2 sunucusunun IP’sini bir DNS sorgusu ile CloudFlare’e çözer ve
Answer[data]Yanıttan alan. Daha sonra AES-256-CBC kullanılarak şifrelenmiş sistem meta verileri (çekirdek versiyonu, ana bilgisayar adı, zaman dilimi) içeren işaret paketlerini ileten komisyoncuya bir MQTT bağlantısı oluşturur. Şifreleme anahtarı çevre değişkenlerinden türemiştir0_0Ve0_1Yürütme sırasında ayarlanan, haşal guid değerlerinin anahtar ve başlatma vektörüne bölünmüş (iv) bileşenlerine bölünmesi.
Iocontrol’ün IoT odaklı protokolleri ve kimlik bilgisi tabanlı başlangıç erişim vektörleri karışımı, savunucular için benzersiz zorluklar sunar.
Flashpoint’in soruşturması, kötü amaçlı yazılımların geliştiricisinin, BreachForums gibi yeraltı forumlarında satma, tehdit aktör grupları arasında potansiyel proliferasyonun sinyal vermesine girişimlerini ortaya koydu.
OT ortamlarını yöneten kuruluşlar, MQTT trafiğinin bu gelişen tehdide neden olan riskleri azaltmak için ürün yazılımı yaması, ağ segmentasyonu ve anomali algılamasına öncelik vermelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free