Hackers Using New IoT/OT Malware IOCONTROL To Control IP Cameras, Routers, PLCs, HMIs And Firewalls
Hackers Using New IoT/OT Malware IOCONTROL To Control IP Cameras, Routers, PLCs, HMIs And Firewalls
Recent cyberattacks targeting critical infrastructure, including fuel management systems and water treatment facilities in Israel and the US,
gbhackers.com
- 공격 개요
- CyberAv3ngers로 알려진 (이란 지원) 공격 그룹이 IOCONTROL 악성코드 사용
- 주 공격 대상: IP 카메라, 라우터, PLC(프로그램 가능 논리 제어기), HMI(휴먼 머신 인터페이스), 방화벽 등
- MQTT(메시지 큐 텔레메트리 전송) 프로토콜로 C2(Command & Control) 서버에 은밀히 연결
- 실제 사례
- 2023년 10월경 Orpak 연료 관리 시스템 공격 사례 보고
- Gasboy 결제 단말(OrPT) 취약점 악용 추정
- 이스라엘과 미국의 200여 개 주유소 대상
- 결제 정보 탈취 및 주유소 운영 장애 가능성
- 2023년 말부터 시작된 공격이 2024년 7~8월 재활성화
- 2023년 10월경 Orpak 연료 관리 시스템 공격 사례 보고
- 기술적 특성
- 악성코드에 UPX 기반 수정된 패커로 코드 난독화
- AES-256-CBC 암호화 방식으로 환경설정 데이터 보호
- GUID(하드코딩된 식별자)로 암호화 키 생성 및 감염 장치 식별
- DoH(DNS over HTTPS) 이용해 네트워크 모니터링 회피
- 루트 권한 획득 후 /usr/bin/iocontrol로 스스로 저장, 부팅 스크립트 추가로 지속성 확보
- 감염 후 동작
- MQTT 프로토콜(포트 8883)로 C2 접속
- GUID 기반 사용자명, 비밀번호로 인증
- 감염 장치 정보(OS 명령 통해 수집) 전송
- C2가 구독(Subscribe)하는 토픽(Topic)에 원격 명령 전달
- 주요 기능
- 원격 코드 실행
- 자체 제거
- 포트 스캐닝
- 임베디드 Linux 기반 IoT/SCADA 장치 공격
- MQTT 프로토콜(포트 8883)로 C2 접속
- 결론
- IOCONTROL은 IoT/OT 기기를 목표로 하는 고도화된 악성코드이며, 중요 인프라를 직접 겨냥
- DNS over HTTPS, 패커 난독화 등 은밀한 기법을 사용해 탐지 회피
- 연료 관리, 수처리, 에너지 등 산업 제어 시스템(ICS)에서 심각한 운영 장애와 보안 위협 발생 가능
- 기업 및 기관은 주기적 펌웨어 업데이트, 네트워크 세분화, 정밀 모니터링 등의 방어 조치 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| FBI, HiatusRAT 악성코드의 중국산 웹 카메라 및 DVR 표적 스캔 캠페인 경고 (1) | 2025.01.01 |
|---|---|
| Citrix, NetScaler 장비 대상 암호 스프레이 공격 경고 (0) | 2025.01.01 |
| 5백만 개의 결제 카드 정보 유출: 연말 소비 모니터링의 중요성 (0) | 2025.01.01 |
| 2024년 가장 수요가 높은 사이버보안 기술 7가지 (2) | 2025.01.01 |
| SaaS 환경에서의 제로트러스트 보안 대책 충족 요건 (0) | 2025.01.01 |