IOCONTROL Malware IOCs

malware IOC

Команда Team82 получила образец IOCONTROL - вредоносной программы, созданной на заказ и нацеленной на западные IoT- и OT-устройства, включая ПЛК, ЧМИ и платформы на базе Linux. Модульная конструкция вредоноса позволяет ему поражать устройства различных производителей. Team82 сообщает, что вредоносная программа связана с CyberAv3ngers, группой, связанной с иранским КСИР-ЦИК. Это вредоносное ПО использовалось в значительных геополитических кибератаках, в том числе для взлома систем управления топливом в США и Израиле.

Описание

Группа, использовавшая вредоносную программу IOCONTROL, атаковала компанию Orpak Systems, затронув 200 автозаправочных станций в Израиле и США, и допустила утечку скриншотов портала управления и конфиденциальных баз данных. Они использовали домен tylarion867mino[.]com для создания командно-контрольной инфраструктуры для скомпрометированных устройств. Вредоносное ПО IOCONTROL было обнаружено на топливных системах Gasboy, связанных с компанией Orpak, и скрывалось в платежных терминалах. Это позволяло злоумышленникам нарушать работу топливных сервисов и потенциально похищать платежные данные клиентов.

Проанализированная вредоносная программа IOCONTROL была разработана для 32-битной архитектуры ARM с архитектурой Big Endian и использовала распаковку в памяти для сокрытия полезной нагрузки. Исследователи использовали движок эмуляции Unicorn для безопасного анализа вредоносной программы, отслеживая поток ее выполнения и обрабатывая вызовы системных вызовов, чтобы не навредить тестовым средам. Оказалось, что вредоносная программа использует модифицированный упаковщик UPX, о чем свидетельствуют уникальные последовательности байтов типа «ABC!» вместо стандартной сигнатуры UPX, что говорит о попытках обойти обнаружение. Несмотря на это, исследователи успешно распаковали и проанализировали вредоносную программу, обнаружив ее сложную конструкцию.

Вредоносная программа IOCONTROL включает в себя зашифрованный раздел конфигурации, содержащий такие важные параметры, как пути к файлам и IP-адреса. Каждый элемент конфигурации зашифрован с помощью AES-256-CBC, а ключи и векторы инициализации (IVs) получены из GUID. Исследователи обнаружили недостатки в реализации злоумышленников, в том числе чрезмерно большие ключи и IVs, что ограничило их реальное использование в процессе дешифрования. Уникальные GUID позволяют вредоносному ПО различать жертв и кампании. После извлечения деталей шифрования исследователи расшифровали конфигурацию, обнаружив такие идентификаторы, как «Orpak», что позволило привязать вредоносную программу к конкретным поставщикам IoT.

Вредоносная программа IOCONTROL использует DNS-over-HTTPS (DoH) для разрешения своего командно-контрольного домена (C2), избегая обнаружения за счет шифрования DNS-трафика. Для обеспечения устойчивости вредоносная программа устанавливает бэкдор и сохраняет себя в каталоге /usr/bin. Вредоносная программа связывается со своим C2 по протоколу MQTT через порт 8883, аутентифицируясь с помощью учетных данных, полученных по GUID. При подключении он отправляет сообщение «hello» с информацией об устройстве и подписывается на определенную тему для получения команд. Поддерживаемые команды включают системные действия, а ответы публикуются обратно в C2. Такая конструкция повышает скрытность и функциональность для сред IoT.

Indicators of Compromise

SHA256

  • 1b39f9b2b96a6586c4a11ab2fdbff8fdf16ba5a0ac7603149023d73f33b84498
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий