Iocontrol adı verilen yeni bir kötü amaçlı yazılım suşu ortaya çıktı ve Nesnelerin İnterneti (IoT) cihazları ve operasyonel teknoloji (OT) sistemleri, özellikle de kritik altyapıdakiler için önemli bir tehdit oluşturdu.
İlk olarak Aralık 2024’te gözlenen Iocontrol, İsrail karşıtı ve İran yanlısı hacktivist grubu “Cyber AV3ngers” tarafından yaratıldığı iddia ediliyor.
Teknik analiz, sofistike yetenekleri ortaya çıkarır
Iocontrol, tespitten kaçınmak ve hedeflenen sistemlerde kalıcılık oluşturmak için gelişmiş teknikler kullanır.
Kötü amaçlı yazılım, değiştirilmiş UPX sihir değerlerine sahip yürütülebilir paketleme kullanır, bu da tanımlamayı ve açmayı zorlaştırır.
Paketlendikten sonra, sabit kodlu bir GUID dizesinden türetilen değerlerle SETEnV () işlevini kullanarak birden fazla ortam değişkeni oluşturur.
Kötü amaçlı yazılım, tam izinlerle dizinler oluşturarak ve/usr/bin/iocontrol olarak kopyalayarak kalıcılık oluşturur.
Daha sonra, Sistem Başlangıç’ta çalışan, bekçi ve temizleme kodu içeren bir Bash komut dosyası yazar.
Iocontrol’ün Komut ve Kontrol (C2) sunucusu ile iletişimi, CloudFlare kullanan bir DNS arama işlemi ve ardından MQTT protokolü aracılığıyla bağlantı kurulumu içerir.
Flashpoint’e göre, bu kolaylaştırılmış ağ protokolü özellikle sınırlı işleme özelliklerine sahip IoT cihazları için uygundur.
Tehdit Oyuncu Hedefleri ve Potansiyel ImpacT
Kurulduktan sonra Iocontrol, tehdit aktörlerinin aşağıdakiler dahil olmak üzere birden fazla hedefe ulaşmasını sağlar:
- Enfekte sistemlerin uzaktan erişimi ve kontrolü.
- Sistem manipülasyonu.
- Veri eksfiltrasyonu.
- Ağlar içinde yanal hareket.
- Geri ihlal edilen altyapının gözetimi.
Kötü amaçlı yazılımların sistem komutlarını yürütme yeteneği, saldırganların ek yükler yükleme veya kritik sistemlere zarar verme gibi daha tehlikeli etkinlikler gerçekleştirmesine olanak tanır.
Iocontrolün ortaya çıkışı, IoT ve OT ortamlarını hedefleyen tehditlerin artan karmaşıklığını vurgular.
Siber AV3ngers’a atfedilmesi ve yeraltı forumlarında satış için potansiyel kullanılabilirliği, bu kötü amaçlı yazılımların gelecekteki saldırılarda daha fazla kullanım görebileceğini düşündürmektedir.
Kuruluşların, özellikle de kritik altyapıyı yönetenlerin bu tür gelişen tehditlere karşı savunmalarını geliştirmeleri tavsiye edilir.
Güçlü IoT ve OT güvenlik önlemlerinin uygulanması, kapsamlı tehdit istihbaratı ile birlikte, Iocontrol ve benzer kötü amaçlı yazılım suşlarının ortaya koyduğu riskleri azaltmada çok önemli olacaktır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.