Les Les chercheurs IBM en sécurité ont publié il y a quelques jours, ils ont détecté une nouvelle famille de logiciels malveillants appelée "ZeroCleare", créé par un groupe de hackers iranien APT34 avec xHunt, ce malware est dirigé contre les secteurs de l'industrie et de l'énergie au Moyen-Orient. Les enquêteurs n'ont pas révélé les noms des entreprises victimes, mais ont fait une analyse du malware pour un rapport détaillé de 28 pages.
ZeroCleare affecte uniquement Windows puisque comme son nom le décrit le chemin de la base de données programme (PDB) de son fichier binaire est utilisé pour exécuter une attaque destructrice qui écrase le master boot record (MBR) et les partitions sur les machines Windows compromises.
ZeroCleare est classé comme un malware avec un comportement quelque peu similaire à celui de "Shamoon" (un malware dont on a beaucoup parlé car il a été utilisé pour des attaques contre des sociétés pétrolières datant de 2012) Bien que Shamoon et ZeroCleare aient des capacités et des comportements similaires, les chercheurs affirment que les deux sont des logiciels malveillants séparés et distincts.
Comme le malware Shamoon, ZeroCleare utilise également un contrôleur de disque dur légitime appelé "RawDisk by ElDos", pour écraser l'enregistrement de démarrage principal (MBR) et les partitions de disque d'ordinateurs spécifiques exécutant Windows.
Bien que le contrôleur Les deux n'est pas signé, le malware parvient à l'exécuter en chargeant un pilote VirtualBox vulnérable mais non signé, en l'exploitant pour contourner le mécanisme de vérification de signature et charger le pilote ElDos non signé.
Ce malware est lancé par des attaques par force brute pour accéder à des systèmes réseau faiblement sécurisés. Une fois que les attaquants ont infecté l'appareil cible, ils propagent le malware via le réseau de l'entreprise comme dernière étape de l'infection.
«Le nettoyeur ZeroCleare fait partie de la dernière étape de l'attaque globale. Il est conçu pour déployer deux formulaires différents, adaptés aux systèmes 32 bits et 64 bits.
Le flux général des événements sur les machines 64 bits comprend l'utilisation d'un pilote signé vulnérable, puis son exploitation sur le périphérique cible pour permettre à ZeroCleare de contourner la couche d'abstraction matérielle Windows et de contourner certaines sauvegardes du système d'exploitation qui empêchent les pilotes non signés de s'exécuter sur 64 bits machines ', lit le rapport IBM.
Le premier contrôleur de cette chaîne s'appelle soy.exe et c'est une version modifiée du chargeur de pilote Turla.
Ce contrôleur est utilisé pour charger une version vulnérable du contrôleur VirtualBox, que les attaquants exploitent pour charger le pilote EldoS RawDisk. RawDisk est un utilitaire légitime utilisé pour interagir avec des fichiers et des partitions, et il a également été utilisé par les attaquants de Shamoon pour accéder au MBR.
Pour accéder au cœur de l'appareil, ZeroCleare utilise un pilote volontairement vulnérable et des scripts PowerShell / Batch malveillants pour contourner les contrôles Windows. En ajoutant ces tactiques, ZeroCleare s'est propagé à de nombreux appareils sur le réseau affecté, semant les germes d'une attaque destructrice qui pourrait affecter des milliers d'appareils et provoquer des pannes qui pourraient prendre des mois pour se rétablir complètement. "
Bien que de nombreuses campagnes APT que les chercheurs exposent mettent l'accent sur le cyberespionnage, certains des mêmes groupes mènent également des opérations destructrices. Historiquement, bon nombre de ces opérations ont eu lieu au Moyen-Orient et se sont concentrées sur les sociétés énergétiques et les installations de production, qui sont des actifs nationaux vitaux.
Bien que les chercheurs n'aient soulevé les noms d'aucune organisation à 100% auquel ce malware est attribué, dans un premier temps, ils ont déclaré qu'APT33 avait participé à la création de ZeroCleare.
Et plus tard, IBM a affirmé qu'APT33 et APT34 avaient créé ZeroCleare, mais peu de temps après la publication du document, l'attribution a changé en xHunt et APT34, et les chercheurs ont admis qu'ils n'étaient pas sûrs à XNUMX%.
Selon les enquêteurs, Les attaques ZeroCleare ne sont pas opportunistes et elles semblent être des opérations dirigées contre des secteurs et des organisations spécifiques.