Los Peneliti keamanan IBM dirilis beberapa hari yang lalu mereka mendeteksi keluarga baru malware bernama "ZeroCleare", dibuat oleh grup peretas Iran APT34 bersama dengan xHunt, malware ini ditujukan untuk sektor industri dan energi di Timur Tengah. Penyidik tidak mengungkapkan nama perusahaan korban, tetapi mereka melakukan analisis terhadap malware tersebut laporan rinci 28 halaman.
ZeroCleare hanya mempengaruhi Windows karena seperti namanya menggambarkan jalur dari database program (PDB) file binernya digunakan untuk melakukan serangan destruktif yang menimpa rekaman boot master (MBR) dan partisi pada mesin Windows yang dikompromikan.
ZeroCleare diklasifikasikan sebagai malware dengan perilaku yang agak mirip dengan "Shamoon" (malware yang banyak dibicarakan karena digunakan untuk serangan terhadap perusahaan minyak sejak tahun 2012) Meskipun Shamoon dan ZeroCleare memiliki kemampuan dan perilaku yang serupa, para peneliti mengatakan keduanya adalah malware yang terpisah dan berbeda.
Seperti malware Shamoon, ZeroCleare juga menggunakan pengontrol hard disk resmi yang disebut "RawDisk by ElDos", untuk menimpa master boot record (MBR) dan partisi disk dari komputer tertentu yang menjalankan Windows.
Meskipun pengontrol Keduanya tidak ditandatangani, malware berhasil mengeksekusinya dengan memuat driver VirtualBox rentan tetapi tidak ditandatangani, mengeksploitasinya untuk melewati mekanisme verifikasi tanda tangan dan memuat driver ElDos yang tidak ditandatangani.
Malware ini diluncurkan melalui serangan brute force untuk mendapatkan akses ke sistem jaringan yang kurang aman. Setelah penyerang menginfeksi perangkat target, mereka menyebarkan malware melalui jaringan perusahaan sebagai langkah terakhir infeksi.
“Pembersih ZeroCleare adalah bagian dari tahap akhir dari keseluruhan serangan. Ini dirancang untuk menggunakan dua bentuk berbeda, yang disesuaikan dengan sistem 32-bit dan 64-bit.
Alur umum peristiwa pada mesin 64-bit termasuk menggunakan driver bertanda tangan yang rentan dan kemudian mengeksploitasinya pada perangkat target untuk memungkinkan ZeroCleare melewati lapisan abstraksi perangkat keras Windows dan melewati beberapa pengamanan sistem operasi yang mencegah driver Unsigned berjalan pada 64-bit mesin ', membaca laporan IBM.
Pengontrol pertama dalam rantai ini disebut soy.exe dan ini adalah versi modifikasi dari pemuat driver Turla.
Pengontrol itu digunakan untuk memuat versi rentan dari pengontrol VirtualBox, yang dieksploitasi oleh penyerang untuk memuat driver EldoS RawDisk. RawDisk adalah utilitas sah yang digunakan untuk berinteraksi dengan file dan partisi, dan juga digunakan oleh penyerang Shamoon untuk mengakses MBR.
Untuk mendapatkan akses ke inti perangkat, ZeroCleare menggunakan driver yang sengaja rentan dan skrip PowerShell / Batch yang berbahaya untuk melewati kontrol Windows. Dengan menambahkan taktik ini, ZeroCleare menyebar ke banyak perangkat di jaringan yang terpengaruh, menabur benih serangan destruktif yang dapat memengaruhi ribuan perangkat dan menyebabkan pemadaman yang membutuhkan waktu berbulan-bulan untuk pulih sepenuhnya, "
Meskipun banyak dari kampanye APT, para peneliti memaparkan fokus pada spionase dunia maya, beberapa dari kelompok yang sama juga melakukan operasi yang merusak. Secara historis, banyak dari operasi ini terjadi di Timur Tengah dan berfokus pada perusahaan energi dan fasilitas produksi, yang merupakan aset nasional yang vital.
Meskipun para peneliti belum mengangkat nama organisasi mana pun 100% yang dikaitkan dengan malware ini, pertama kali mereka berkomentar bahwa APT33 berpartisipasi dalam pembuatan ZeroCleare.
Dan kemudian IBM mengklaim bahwa APT33 dan APT34 membuat ZeroCleare, tetapi tak lama setelah dokumen dirilis, atribusi berubah menjadi xHunt dan APT34, dan para peneliti mengakui bahwa mereka tidak XNUMX persen yakin.
Menurut peneliti, Serangan ZeroCleare tidak bersifat oportunistik dan mereka tampak seperti operasi yang diarahkan pada sektor dan organisasi tertentu.