Qianxin XLab’daki araştırmacılar, özellikle benzin istasyonları ve petrol taşımacılığına katılan bir şirket olan Orpak ile ilişkili endüstriyel sistemleri hedefleyen Orpacrab olarak adlandırılan gelişmiş Linux tabanlı arka kapı ortaya çıkardılar.
Ocak 2024’te ABD’den Virustotal’a yüklenen kötü amaçlı yazılım, tespit edilmesinden kaçınmak ve tehlikeye atılan sistemlerde kalıcılığı korumak için gelişmiş teknikler kullanıyor.
Gizli C2 iletişimi için MQTT protokolünün sömürülmesi
OrpaCrab’ın dikkate değer özelliklerinden biri, komut ve kontrol (C2) iletişimi için MQTT (Mesaj Kuyruk Telemetri Taşımacılığı) protokolünü kullanmasıdır.
Bu yaklaşım, kötü amaçlı yazılımların trafiğini meşru MQTT iletişimiyle harmanlamasına izin vererek güvenlik ekiplerinin kötü niyetli etkinlikleri tespit etmesini zorlaştırır.
Arka kapı, “/etc/rc3.d/” dan otomatik olarak atlayan ve yapılandırma bilgilerini gizlemek için AES-256-CBC şifrelemesini kullanan bir komut dosyası aracılığıyla kalıcılık oluşturur.
Ayrıca, OrpaCrab, C2 alanını çözmek için DNS’yi HTTPS (DOH) üzerinden kullanır ve geleneksel DNS izleme tekniklerini etkili bir şekilde atlar.
Cyberav3Ngers Hacking Group’a Potansiyel Bağlantı
Kötü amaçlı yazılımları bağımsız olarak analiz eden ve IT Iocontrol kodlu Claroty araştırmacıları, daha önce Cyberav3Ngers hackleme grubu tarafından tehlikeye atılan bir Gasboy yakıt yönetim sisteminden çıkarıldığını bildirdi.
Bu grup, Unitronics PLC’leri su sistemlerini ihlal eden siber saldırılarla bağlantılıdır ve bu da yakıt altyapısını içerecek şekilde hedeflemelerinin potansiyel bir genişlemesini düşündürmektedir.
Kötü amaçlı yazılımların Gasboy’un Ödeme Terminali (ORPT) içindeki varlığı, tehdit aktörlerinin ödeme sistemlerini kontrol etme yeteneğine sahip olduklarını ve potansiyel olarak yakıt hizmetlerini bozmalarını ve müşteri kredi kartı bilgilerini çalmalarını sağladığını ima eder.
OrpaCrab’ın keşfi, özellikle kritik altyapı sektörlerinde, operasyonel teknoloji (OT) sistemleri için gelişen tehdit manzarasını vurgulamaktadır.
Kötü amaçlı yazılımların C2 iletişimleri için MQTT kullanımı ve belirli endüstriyel sistemleri hedefleme yeteneği de dahil olmak üzere sofistike tasarımı, OT ortamlarına yönelik saldırıların artan karmaşıklığını göstermektedir.
Bu olay, enerji ve ulaşım sektörlerindeki kuruluşların siber güvenlik önlemlerini geliştirmeleri için, özellikle iletişim protokollerini güvence altına almaya ve endüstriyel kontrol sistemlerinde anormal davranışı tespit edebilen sağlam izleme sistemlerinin uygulanmasına odaklanmak için kesin bir hatırlatma görevi görüyor.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.