I Rilasciati i ricercatori di sicurezza IBM pochi giorni fa hanno rilevato una nuova famiglia di malware chiamata "ZeroCleare", creato da un gruppo di hacker iraniano APT34 insieme a xHunt, questo malware è diretto contro i settori industriale ed energetico in Medio Oriente. Gli investigatori non hanno rivelato i nomi delle aziende vittime, ma hanno fatto un'analisi del malware un rapporto dettagliato di 28 pagine.
ZeroCleare interessa solo Windows poiché come il suo nome lo descrive il percorso del database di programma (PDB) di il suo file binario viene utilizzato per eseguire un attacco distruttivo che sovrascrive il record di avvio principale (MBR) e partizioni su macchine Windows compromesse.
ZeroCleare è classificato come malware con un comportamento in qualche modo simile a quello di "Shamoon" (un malware di cui si è parlato molto perché è stato utilizzato per attacchi alle compagnie petrolifere risalenti al 2012) Sebbene Shamoon e ZeroCleare abbiano capacità e comportamenti simili, i ricercatori affermano che i due sono pezzi di malware separati e distinti.
Come il malware Shamoon, ZeroCleare utilizza anche un controller del disco rigido legittimo chiamato "RawDisk di ElDos", per sovrascrivere il record di avvio principale (MBR) e le partizioni del disco di computer specifici che eseguono Windows.
Sebbene il controller Il due non è firmato, il malware riesce a eseguirlo caricando un driver VirtualBox vulnerabile ma non firmato, sfruttandolo per bypassare il meccanismo di verifica della firma e caricare il driver ElDos non firmato.
Questo malware viene lanciato tramite attacchi di forza bruta per ottenere l'accesso a sistemi di rete debolmente sicuri. Una volta che gli aggressori infettano il dispositivo di destinazione, diffondono il malware tramite la rete aziendale come ultimo passaggio dell'infezione.
“Il pulitore ZeroCleare fa parte della fase finale dell'attacco generale. È progettato per distribuire due forme diverse, adattate a sistemi a 32 bit e 64 bit.
Il flusso generale di eventi su macchine a 64 bit include l'utilizzo di un driver firmato vulnerabile e quindi lo sfruttamento sul dispositivo di destinazione per consentire a ZeroCleare di aggirare il livello di astrazione hardware di Windows e aggirare alcune protezioni del sistema operativo che impediscono ai driver Unsigned di funzionare a 64 bit macchine ', si legge nel rapporto IBM.
Il primo controller di questa catena si chiama soy.exe ed è una versione modificata del caricatore del driver Turla.
Quel controller viene utilizzato per caricare una versione vulnerabile del controller VirtualBox, che gli aggressori sfruttano per caricare il driver EldoS RawDisk. RawDisk è un'utilità legittima utilizzata per interagire con file e partizioni ed è stata utilizzata anche dagli aggressori Shamoon per accedere all'MBR.
Per accedere al nucleo del dispositivo, ZeroCleare utilizza un driver intenzionalmente vulnerabile e script PowerShell / Batch dannosi per aggirare i controlli di Windows. Aggiungendo queste tattiche, ZeroCleare si è diffuso a numerosi dispositivi sulla rete interessata, gettando i semi di un attacco distruttivo che potrebbe colpire migliaia di dispositivi e causare interruzioni che potrebbero richiedere mesi per riprendersi completamente ".
Sebbene molte delle campagne APT denunciate dai ricercatori si concentrano sullo spionaggio informatico, alcuni degli stessi gruppi svolgono anche operazioni distruttive. Storicamente, molte di queste operazioni hanno avuto luogo in Medio Oriente e si sono concentrate sulle società energetiche e sugli impianti di produzione, che sono risorse nazionali vitali.
Sebbene i ricercatori non abbiano sollevato al 100% i nomi di nessuna organizzazione a cui è attribuito questo malware, in prima istanza hanno commentato che APT33 ha partecipato alla creazione di ZeroCleare.
E poi in seguito IBM ha affermato che APT33 e APT34 hanno creato ZeroCleare, ma poco dopo la pubblicazione del documento, l'attribuzione è cambiata in xHunt e APT34, ei ricercatori hanno ammesso di non esserne certi al XNUMX%.
Secondo i ricercatori, Gli attacchi ZeroCleare non sono opportunistici e sembrano essere operazioni dirette contro settori e organizzazioni specifici.