Die IBM Sicherheitsforscher veröffentlicht vor ein paar Tagen haben sie entdeckt eine neue Malware-Familie namens "ZeroCleare", erstellt von einer iranischen Hacker-Gruppe APT34 zusammen mit xHuntDiese Malware richtet sich gegen den Industrie- und Energiesektor im Nahen Osten. Die Ermittler gaben nicht die Namen der Opferfirmen bekannt, sondern führten eine Analyse der Malware durch ein detaillierter 28-seitiger Bericht.
ZeroCleare betrifft nur Windows da, wie sein Name es beschreibt, der Pfad der Programmdatenbank (PDB) von Die Binärdatei wird verwendet, um einen destruktiven Angriff auszuführen, der den Master-Boot-Datensatz überschreibt (MBR) und Partitionen auf gefährdeten Windows-Computern.
ZeroCleare wird als Malware mit einem ähnlichen Verhalten wie "Shamoon" eingestuft. (Eine Malware, über die viel gesprochen wurde, weil sie für Angriffe auf Ölfirmen aus dem Jahr 2012 verwendet wurde.) Obwohl Shamoon und ZeroCleare ähnliche Fähigkeiten und Verhaltensweisen aufweisen, sagen Forscher, dass es sich bei beiden um separate und unterschiedliche Malware handelt.
Wie die Shamoon-Malware, ZeroCleare verwendet auch einen legitimen Festplattencontroller namens "RawDisk by ElDos"., um den Master Boot Record (MBR) und die Festplattenpartitionen bestimmter Computer unter Windows zu überschreiben.
Obwohl der Controller Die Zwei ist nicht signiert, die Malware schafft es, sie durch Laden eines VirtualBox-Treibers auszuführen anfällig, aber nicht signiert, um den Signaturüberprüfungsmechanismus zu umgehen und den nicht signierten ElDos-Treiber zu laden.
Diese Malware wird durch Brute-Force-Angriffe gestartet Zugang zu schwach sicheren Netzwerksystemen zu erhalten. Sobald die Angreifer das Zielgerät infizieren, verbreiten sie die Malware über das Unternehmensnetzwerk als letzter Schritt der Infektion.
„Der ZeroCleare-Reiniger ist Teil der Endphase des Gesamtangriffs. Es wurde entwickelt, um zwei verschiedene Formen bereitzustellen, die an 32-Bit- und 64-Bit-Systeme angepasst sind.
Der allgemeine Ereignisfluss auf 64-Bit-Computern umfasst die Verwendung eines anfälligen signierten Treibers und dessen anschließende Ausnutzung auf dem Zielgerät, damit ZeroCleare die Windows-Hardwareabstraktionsschicht umgehen und einige Betriebssystemsicherungen umgehen kann, die verhindern, dass die nicht signierten Treiber auf 64-Bit ausgeführt werden Maschinen ', liest den IBM-Bericht.
Der erste Controller in dieser Kette heißt soja.exe und es ist eine modifizierte Version des Turla-Treiberladers.
Dieser Controller wird zum Laden einer anfälligen Version des VirtualBox-Controllers verwendet, die Angreifer ausnutzen, um den EldoS RawDisk-Treiber zu laden. RawDisk ist ein legitimes Dienstprogramm für die Interaktion mit Dateien und Partitionen. Es wurde auch von Shamoon-Angreifern verwendet, um auf den MBR zuzugreifen.
Um Zugriff auf den Kern des Geräts zu erhalten, verwendet ZeroCleare einen absichtlich anfälligen Treiber und böswillige PowerShell / Batch-Skripts, um Windows-Steuerelemente zu umgehen. Durch Hinzufügen dieser Taktik verbreitete sich ZeroCleare auf zahlreiche Geräte im betroffenen Netzwerk und säte den Keim für einen zerstörerischen Angriff, der Tausende von Geräten betreffen und Ausfälle verursachen könnte, deren vollständige Wiederherstellung Monate dauern könnte. "
Obwohl Viele der APT-Kampagnen, die die Forscher auf Cyberspionage ausrichten, Einige der gleichen Gruppen führen auch zerstörerische Operationen durch. In der Vergangenheit fanden viele dieser Operationen im Nahen Osten statt und konzentrierten sich auf Energieunternehmen und Produktionsanlagen, die wichtige nationale Vermögenswerte sind.
Obwohl die Forscher die Namen keiner Organisation zu 100% erhoben haben Der Malware, der diese Malware zugeschrieben wird, wurde zunächst kommentiert, dass APT33 an der Erstellung von ZeroCleare beteiligt war.
Und später behauptete IBM, APT33 und APT34 hätten ZeroCleare erstellt, aber kurz nach der Veröffentlichung des Dokuments wurde die Zuordnung zu xHunt und APT34 geändert, und die Forscher gaben zu, dass sie nicht zu XNUMX Prozent sicher waren.
Laut den Ermittlern, ZeroCleare-Angriffe sind nicht opportunistisch und sie scheinen Operationen zu sein, die sich gegen bestimmte Sektoren und Organisationen richten.