イスラエルと米国の重要インフラで使用されているモノのインターネット(IoT)デバイスとOT/SCADAシステムを侵害するために、イランの脅威行為者がIOCONTROLと名付けられた新しいマルウェアを利用している。
標的となるデバイスには、ルーター、プログラマブル・ロジック・コントローラー(PLC)、ヒューマン・マシン・インターフェース(HMI)、IPカメラ、ファイアウォール、燃料管理システムなどがあります。
このマルウェアはモジュール化されているため、D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika、Unitronicsなど、さまざまなメーカーの幅広いデバイスを危険にさらすことができます。
IOCONTROLを発見し、分析のためにサンプリングしたクラロティのTeam82リサーチャーは、IOCONTROLは重要なインフラに重大な混乱を引き起こす可能性のある国家サイバー兵器であると報告しています。
現在進行中の地政学的対立を考慮すると、IOCONTROLは現在、OrpakやGasboy燃料管理システムのようなイスラエルと米国のシステムを標的にするために使用されている。
このツールは、CyberAv3ngersとして知られるイランのハッキング・グループと関連があると言われており、彼らは過去に産業システムの攻撃に関心を示していた。OpenAI は最近、この脅威グループが ChatGPT を使用して PLC をクラックし、カスタム bash および Python エクスプロイトスクリプトを開発し、侵害後の活動を計画していることも報告しました。
IOCONTROL攻撃
クラロティは、Gasboyの燃料制御システム、特にデバイスの決済端末(OrPT)からマルウェア・サンプルを抽出しましたが、研究者は、ハッカーがどのようにIOCONTROLに感染させたのか正確には分かっていません。
これらのデバイスの内部では、IOCONTROLがポンプ、決済端末、およびその他の周辺システムを制御し、混乱やデータ盗難を引き起こす可能性があります。
脅威の主体は、Telegramでイスラエルと米国の200のガソリンスタンドを危険にさらしたと主張しており、これはClarotyの調査結果と一致している。
これらの攻撃は2023年後半に発生し、水処理施設におけるUnitronics Vision PLC/HMIデバイスの改ざんとほぼ同時期であったが、研究者は2024年半ばに新たなキャンペーンが出現したと報告している。
2024年12月10日現在、UPXがパックされたマルウェアのバイナリは、66のVirusTotalアンチウイルスエンジンのいずれからも検出されていません。

Source:クラロティ
マルウェアの機能
このマルウェアは、「iocontrol.」という名前で「/usr/bin/」ディレクトリに格納されており、さまざまなベンダーやデバイスの種類に適応するためのモジュール構成を使用して、広範なシステムアーキテクチャを標的としています。
永続化スクリプト(’S93InitSystemd.sh’)を使用して、システム起動時にマルウェア・プロセス(’iocontrol’)を実行するため、デバイスを再起動しても無効化されません。
ポート8883を通じてMQTTプロトコルを使用し、IoTデバイスの標準チャネルおよびプロトコルであるコマンド・アンド・コントロール(C2)サーバーと通信します。一意のデバイスIDは、より良い制御のためにMQTT認証情報に埋め込まれている。
DNS over HTTPS(DoH)は、ネットワーク・トラフィック・モニタリング・ツールを回避しながらC2ドメインを解決するために使用され、マルウェアの設定はAES-256-CBCを使用して暗号化されています。
IOCONTROLがサポートするコマンドは以下の通り:
- hello」の送信:詳細なシステム情報(ホスト名、現在のユーザー、デバイス・モデルなど)をC2に報告する。
- Check exec:マルウェアのバイナリが正しくインストールされ、実行可能であることを確認します。
- コマンドの実行:システムコールを介して任意のOSコマンドを実行し、出力を報告します。
- 自己削除:検出を回避するために、自身のバイナリ、スクリプト、ログを削除します。
- ポートスキャン:指定したIP範囲とポートをスキャンし、他の潜在的な標的を特定する。
上記のコマンドは、「libc」ライブラリから動的に取得したシステムコールを使用して実行され、出力は報告用に一時ファイルに書き込まれます。

ソースはこちら:クラロティ
IOCONTROLのターゲットが重要なインフラストラクチャで果たす役割とグループの継続的な活動を考えると、Clarotyのレポートは、脅威を特定しブロックするのに役立つ、防御者にとって貴重なリソースとなる。
侵害の指標(IoC)の一覧はレポートの下部に掲載されている。
Comments