masse IBM sikkerhedsforskere frigivet for et par dage siden opdagede de en ny familie af malware kaldet "ZeroCleare", oprettet af en iransk hacker-gruppe APT34 sammen med xHunt, denne malware er rettet mod industri- og energisektoren i Mellemøsten. Efterforskerne afslørede ikke navnene på offervirksomhederne, men foretog en analyse af malware til en detaljeret 28-siders rapport.
ZeroCleare påvirker kun Windows da som navnet beskriver stien til programdatabasen (PDB) for dens binære fil bruges til at udføre et destruktivt angreb, der overskriver master boot-posten (MBR) og partitioner på kompromitterede Windows-maskiner.
ZeroCleare er klassificeret som en malware med en adfærd, der ligner "Shamoon" (En malware, der blev talt meget om, fordi den blev brugt til angreb på olieselskaber, der går tilbage til 2012) Selvom Shamoon og ZeroCleare har lignende kapaciteter og adfærd, siger forskere, at de to er separate og særskilte stykker malware.
Ligesom Shamoon malware, ZeroCleare bruger også en legitim harddiskcontroller kaldet "RawDisk by ElDos", for at overskrive master boot record (MBR) og diskpartitioner på bestemte computere, der kører Windows.
Selvom controlleren De to ikke er signeret, klarer malware at udføre det ved at indlæse en VirtualBox-driver sårbar, men usigneret, ved at udnytte den til at omgå signaturbekræftelsesmekanismen og indlæse den usignerede ElDos-driver.
Denne malware lanceres gennem brute force-angreb for at få adgang til svagt sikre netværkssystemer. Når angriberne inficerer målenheden, spreder de malware via virksomhedsnetværket som det sidste trin i infektionen.
”ZeroCleare-rengøringsmidlet er en del af den sidste fase af det samlede angreb. Det er designet til at implementere to forskellige former, tilpasset til 32-bit og 64-bit systemer.
Den generelle strøm af begivenheder på 64-bit maskiner inkluderer brug af en sårbar signeret driver og derefter udnyttelse af den på målenheden for at give ZeroCleare mulighed for at omgå Windows-hardware-abstraktionslaget og omgå nogle operativsystemsikkerhedsforanstaltninger, der forhindrer de usignerede drivere, der kører på 64-bit maskiner '', læser IBM-rapporten.
Den første controller i denne kæde kaldes soy.exe og det er en modificeret version af Turla driver loader.
Denne controller bruges til at indlæse en sårbar version af VirtualBox-controlleren, som angribere udnytter til at indlæse EldoS RawDisk-driveren. RawDisk er et legitimt værktøj, der bruges til at interagere med filer og partitioner, og det blev også brugt af Shamoon-angribere til at få adgang til MBR.
For at få adgang til enhedens kerne bruger ZeroCleare en bevidst sårbar driver og ondsindede PowerShell / Batch-scripts til at omgå Windows-kontroller. Ved at tilføje disse taktikker spredte ZeroCleare sig til adskillige enheder på det berørte netværk og såede frøene til et destruktivt angreb, der kunne påvirke tusindvis af enheder og forårsage afbrydelser, der kunne tage måneder at komme sig fuldt ud, "
Skønt mange af APT-kampagnerne forskerne udsætter fokus for cyberspionage, nogle af de samme grupper udfører også destruktive operationer. Historisk set har mange af disse operationer fundet sted i Mellemøsten og har fokuseret på energiselskaber og produktionsfaciliteter, som er vigtige nationale aktiver.
Selvom forskerne ikke har hævet navnene på nogen organisation 100% som denne malware tilskrives, kommenterede de i første omgang, at APT33 deltog i oprettelsen af ZeroCleare.
Og senere hævdede IBM, at APT33 og APT34 oprettede ZeroCleare, men kort efter at dokumentet blev frigivet, blev tilskrivningen ændret til xHunt og APT34, og forskerne indrømmede, at de ikke var XNUMX procent sikre.
Ifølge forskerne, ZeroCleare-angreb er ikke opportunistiske og de ser ud til at være operationer rettet mod bestemte sektorer og organisationer.