#Mr_Soul #CyberAv3ngers #IRGC
یکی از افراد تیم AC3 با نام Mr_Soul یا مرد روح، فعالیت میکند، وی در جریان استفاده بدافزار IOCONTROL نام مستعارش فاش شد.
پیشتر پستی در خصوص نحوه عملکرد IOCONTROL منتشر کردیم البته بصورت متخصر. اینحا میخوایم رفتار تکنیکی تاکتیکی، آنها را کمی بررسی کنیم:
1.برای ورود به دستگاه های صنعتی از Brute Force استفاده شده.
2.بد افزار IOCONTROL امکان بکار گیری OrPT خط فرمان پرداخت GasBoy's را داشته است، پی میتوانستند جایگاه های سوخت را خاموش و اطلاعات اعتباری کاربران را سرقت کنند.
3.بدافزار با معماری سیستمی ARM-32 bit Big Endian طراحی شده است با فرمت ELF.
4.بدافزار از رمزنگاری AES-256-CBC برای باز گشایی پیکربندی های بدافزار در زمان اجرا استفاده کرده است.
5.بدافزار میتواند با پروتکل MQTT که یک پروتکل IOT/OT است صحبت کند.
6.کلید بازگشایی AES-256-CBC مقدار "
7.در مقادیر پیکربندی، دامنه C2 و نوع داده، و فرمان ها قرار داشته است.
8.ارتباط با C2 با تکنیک DoH یا DNS over Https برقرار میشده است.
یکی از افراد تیم AC3 با نام Mr_Soul یا مرد روح، فعالیت میکند، وی در جریان استفاده بدافزار IOCONTROL نام مستعارش فاش شد.
پیشتر پستی در خصوص نحوه عملکرد IOCONTROL منتشر کردیم البته بصورت متخصر. اینحا میخوایم رفتار تکنیکی تاکتیکی، آنها را کمی بررسی کنیم:
1.برای ورود به دستگاه های صنعتی از Brute Force استفاده شده.
2.بد افزار IOCONTROL امکان بکار گیری OrPT خط فرمان پرداخت GasBoy's را داشته است، پی میتوانستند جایگاه های سوخت را خاموش و اطلاعات اعتباری کاربران را سرقت کنند.
3.بدافزار با معماری سیستمی ARM-32 bit Big Endian طراحی شده است با فرمت ELF.
4.بدافزار از رمزنگاری AES-256-CBC برای باز گشایی پیکربندی های بدافزار در زمان اجرا استفاده کرده است.
5.بدافزار میتواند با پروتکل MQTT که یک پروتکل IOT/OT است صحبت کند.
6.کلید بازگشایی AES-256-CBC مقدار "
0_0" است، و کلید IV آن نیز "1_0" است، اساسا هکر با مزه ای بوده این بنده خدا :).7.در مقادیر پیکربندی، دامنه C2 و نوع داده، و فرمان ها قرار داشته است.
8.ارتباط با C2 با تکنیک DoH یا DNS over Https برقرار میشده است.
🥰1
tgoop.com/pythonwithmedev/561
Create:
Last Update:
Last Update:
#Mr_Soul #CyberAv3ngers #IRGC
یکی از افراد تیم AC3 با نام Mr_Soul یا مرد روح، فعالیت میکند، وی در جریان استفاده بدافزار IOCONTROL نام مستعارش فاش شد.
پیشتر پستی در خصوص نحوه عملکرد IOCONTROL منتشر کردیم البته بصورت متخصر. اینحا میخوایم رفتار تکنیکی تاکتیکی، آنها را کمی بررسی کنیم:
1.برای ورود به دستگاه های صنعتی از Brute Force استفاده شده.
2.بد افزار IOCONTROL امکان بکار گیری OrPT خط فرمان پرداخت GasBoy's را داشته است، پی میتوانستند جایگاه های سوخت را خاموش و اطلاعات اعتباری کاربران را سرقت کنند.
3.بدافزار با معماری سیستمی ARM-32 bit Big Endian طراحی شده است با فرمت ELF.
4.بدافزار از رمزنگاری AES-256-CBC برای باز گشایی پیکربندی های بدافزار در زمان اجرا استفاده کرده است.
5.بدافزار میتواند با پروتکل MQTT که یک پروتکل IOT/OT است صحبت کند.
6.کلید بازگشایی AES-256-CBC مقدار "
7.در مقادیر پیکربندی، دامنه C2 و نوع داده، و فرمان ها قرار داشته است.
8.ارتباط با C2 با تکنیک DoH یا DNS over Https برقرار میشده است.
یکی از افراد تیم AC3 با نام Mr_Soul یا مرد روح، فعالیت میکند، وی در جریان استفاده بدافزار IOCONTROL نام مستعارش فاش شد.
پیشتر پستی در خصوص نحوه عملکرد IOCONTROL منتشر کردیم البته بصورت متخصر. اینحا میخوایم رفتار تکنیکی تاکتیکی، آنها را کمی بررسی کنیم:
1.برای ورود به دستگاه های صنعتی از Brute Force استفاده شده.
2.بد افزار IOCONTROL امکان بکار گیری OrPT خط فرمان پرداخت GasBoy's را داشته است، پی میتوانستند جایگاه های سوخت را خاموش و اطلاعات اعتباری کاربران را سرقت کنند.
3.بدافزار با معماری سیستمی ARM-32 bit Big Endian طراحی شده است با فرمت ELF.
4.بدافزار از رمزنگاری AES-256-CBC برای باز گشایی پیکربندی های بدافزار در زمان اجرا استفاده کرده است.
5.بدافزار میتواند با پروتکل MQTT که یک پروتکل IOT/OT است صحبت کند.
6.کلید بازگشایی AES-256-CBC مقدار "
0_0" است، و کلید IV آن نیز "1_0" است، اساسا هکر با مزه ای بوده این بنده خدا :).7.در مقادیر پیکربندی، دامنه C2 و نوع داده، و فرمان ها قرار داشته است.
8.ارتباط با C2 با تکنیک DoH یا DNS over Https برقرار میشده است.
BY 🧑💻Cyber.vision🧑💻
Share with your friend now:
tgoop.com/pythonwithmedev/561