导 读
伊朗黑客组织正在利用一种名为 IOCONTROL 的新型恶意软件来攻击以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。
目标设备包括路由器、可编程逻辑控制器 (PLC)、人机界面 (HMI)、IP 摄像机、防火墙和燃料管理系统。
该恶意软件的模块化特性使其能够感染来自不同制造商的各种设备,包括 D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika 和 Unitronics。
Claroty 的 Team82 研究人员发现并采样了 IOCONTROL 进行分析,报告称这是一种网络武器,可能会对关键基础设施造成严重破坏。
鉴于正在发生的地缘政治冲突,IOCONTROL 目前用于针对以色列和美国的系统,如 Orpak 和 Gasboy 燃料管理系统。
据报道,该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关,该组织过去 曾表现出对攻击工业系统的兴趣。OpenAI最近还报告称,该威胁组织使用 ChatGPT 破解 PLC、开发自定义 bash 和 Python 漏洞脚本,并计划其入侵后的活动。
IOCONTROL攻击
Claroty 从 Gasboy 燃料控制系统中提取了恶意软件样本,特别是该设备的支付终端 (OrPT),但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。
在这些设备内部,IOCONTROL 可以控制泵、支付终端和其他外围系统,从而可能造成中断或数据盗窃。
威胁组织在 Telegram 上声称入侵了以色列和美国的 200 个加油站,这与 Claroty 的调查结果一致。
这些攻击发生在 2023 年末,与水处理设施中 Unitronics Vision PLC/HMI 设备遭到破坏的时间大致相同,但研究人员报告称,新的攻击活动在 2024 年中期出现。
截至 2024 年 12 月 10 日,66 个 VirusTotal 防病毒引擎均未检测到 UPX 打包的恶意软件二进制文件。
恶意软件功能
该恶意软件以“iocontrol”名称存储在“/usr/bin/”目录中,使用模块化配置来适应不同的供应商和设备类型,针对广泛的系统架构。
它使用持久性脚本(“S93InitSystemd.sh”)在系统启动时执行恶意软件进程(“iocontrol”),因此重新启动设备不会停用它。
它通过端口 8883 使用 MQTT 协议与其命令和控制 (C2) 服务器进行通信,这是物联网设备的标准通道和协议。唯一的设备 ID 嵌入到 MQTT 凭证中,以便更好地进行控制。
DNS over HTTPS(DoH)用于解析 C2 域,同时逃避网络流量监控工具,并且恶意软件的配置使用 AES-256-CBC 加密。
IOCONTROL 支持的命令如下:
-
发送“hello”:向C2报告详细的系统信息(例如主机名、当前用户、设备型号)。
-
检查 exec:确认恶意软件二进制文件已正确安装且可执行。
-
执行命令:通过系统调用运行任意操作系统命令并报告输出。
-
自我删除:删除自己的二进制文件、脚本和日志以逃避检测。
-
端口扫描:扫描指定的 IP 范围和端口以识别其他潜在目标。
上述命令使用从“libc”库动态检索的系统调用来执行,并将输出写入临时文件以供报告。
简化的攻击流程
技术报告:https://claroty.com/team82/research/inside-a-new-ot-iot-cyber-weapon-iocontrol
新闻链接:
https://www.bleepingcomputer.com/news/security/new-iocontrol-malware-used-in-critical-infrastructure-attacks/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄罗斯秘密暴雪 APT 组织利用 Kazuar 后门攻击乌克兰
https://securityaffairs.com/171896/apt/secret-blizzard-targets-ukraine-with-kazuar-backdoor.html
新型 IOCONTROL 恶意软件被用于关键基础设施攻击
https://www.bleepingcomputer.com/news/security/new-iocontrol-malware-used-in-critical-infrastructure-attacks/
新型隐秘 Pumakit Linux rootkit 恶意软件被发现
https://www.bleepingcomputer.com/news/security/new-stealthy-pumakit-linux-rootkit-malware-spotted-in-the-wild/
Gamaredon 在前苏联国家部署 Android 间谍软件“BoneSpy”和“PlainGnome”
https://thehackernews.com/2024/12/gamaredon-deploys-android-spyware.html
一般威胁事件
General Threat Incidents
亲俄和亲巴勒斯坦黑客组织联合对抗法国
https://thecyberexpress.com/holy-league-hacktivists-uniting-against-france/
超过 30 万个 Prometheus 实例被曝光:凭证和 API 密钥在线泄露
https://thehackernews.com/2024/12/296000-prometheus-instances-exposed.html
比特币 ATM 公司 Byte Federal 因 GitLab 漏洞遭黑客攻击,58,000 名用户信息遭泄露
https://www.bleepingcomputer.com/news/security/bitcoin-atm-firm-byte-federal-hacked-via-gitlab-flaw-58k-users-exposed/
俄罗斯声称破获与格鲁吉亚前国防部长有关的全球诈骗网络
https://therecord.media/russia-claims-to-bust-scam-network-tied-to-former-georgian-minister
欧洲刑警组织关闭了 27 个 DDoS 攻击服务
https://www.securityweek.com/27-ddos-attack-services-taken-down-by-law-enforcement/
通过 AuthQuake 攻击绕过 Microsoft MFA
https://www.securityweek.com/microsoft-mfa-bypassed-via-authquake-attack/
美国司法部称假冒 IT 员工向朝鲜输送数百万美元
https://www.securityweek.com/fake-it-workers-funneled-millions-to-north-korea-doj-says/
漏洞事件
Vulnerability Incidents
苹果发布 iOS、macOS 重大安全更新
https://www.securityweek.com/apple-pushes-major-ios-macos-security-updates/
企业软件制造商 Cleo 发布多款文件传输工具的更新,修补一个被积极利用的漏洞
https://www.securityweek.com/cleo-patches-exploited-flaw-as-security-firms-detail-malware-pushed-in-attacks/
WordPress 插件中的两个漏洞允许攻击者对网站进行后门攻击
https://www.securityweek.com/hunk-companion-wp-query-console-vulnerabilities-chained-to-hack-wordpress-sites/
研究人员发现 iOS 和 macOS 中允许绕过 TCC 的符号链接漏洞
https://thehackernews.com/2024/12/researchers-uncover-symlink-exploit.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):新型 IOCONTROL 恶意软件攻击美以关键基础设施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论