たくさん IBMのセキュリティ研究者がリリース 数日前、彼らは検出しました 「ZeroCleare」と呼ばれるマルウェアの新しいファミリ、イランのハッカーグループAPT34とxHuntによって作成されました、このマルウェアは、中東の産業およびエネルギー部門を対象としています。 捜査官は被害企業の名前を明らかにしませんでしたが、マルウェアの分析を行いました 詳細な28ページのレポート。
ZeroCleareはWindowsにのみ影響します その名前がそれを説明しているので、のプログラムデータベース(PDB)のパス そのバイナリファイルは、マスターブートレコードを上書きする破壊的な攻撃を実行するために使用されます (MBR)および侵害されたWindowsマシン上のパーティション。
ZeroCleareは、「Shamoon」とやや似た動作をするマルウェアとして分類されます。 (2012年にさかのぼる石油会社への攻撃に使用されたために多くの話題を呼んだマルウェア)ShamoonとZeroCleareは同様の機能と動作を持っていますが、研究者はXNUMXつは別個の別個のマルウェアであると述べています。
Shamoonマルウェアのように、 ZeroCleareは、「RawDiskbyElDos」と呼ばれる正規のハードディスクコントローラーも使用しています。、Windowsを実行している特定のコンピューターのマスターブートレコード(MBR)とディスクパーティションを上書きします。
コントローラーは 二つ 署名されていない場合、マルウェアはVirtualBoxドライバーをロードすることでそれを実行することができます 脆弱ですが署名されておらず、それを悪用して署名検証メカニズムをバイパスし、署名されていないElDosドライバーをロードします。
このマルウェアはブルートフォース攻撃によって起動されます 安全性の低いネットワークシステムにアクセスするため。 攻撃者がターゲットデバイスに感染すると、マルウェアが拡散します 感染の最後のステップとして、企業ネットワークを介して。
「ZeroCleareクリーナーは、攻撃全体の最終段階の一部です。 32ビットシステムと64ビットシステムに適合したXNUMXつの異なる形式を展開するように設計されています。
64ビットマシンでのイベントの一般的なフローには、脆弱な署名付きドライバーを使用し、それをターゲットデバイスで悪用して、ZeroCleareがWindowsハードウェア抽象化レイヤーをバイパスし、署名なしドライバーが64ビットで実行されないようにするオペレーティングシステムの保護手段をバイパスできるようにすることが含まれます。マシン」、IBMレポートを読みます。
このチェーンの最初のコントローラーはsoy.exeと呼ばれます これは、Turlaドライバーローダーの修正バージョンです。
そのコントローラーは、VirtualBoxコントローラーの脆弱なバージョンをロードするために使用されます、攻撃者がEldoSRawDiskドライバーをロードするために悪用します。 RawDiskは、ファイルやパーティションを操作するために使用される正当なユーティリティであり、Shamoonの攻撃者がMBRにアクセスするためにも使用されました。
ZeroCleareは、デバイスのコアにアクセスするために、意図的に脆弱なドライバーと悪意のあるPowerShell / Batchスクリプトを使用して、Windowsコントロールをバイパスします。 これらの戦術を追加することで、ZeroCleareは影響を受けるネットワーク上の多数のデバイスに広がり、数千のデバイスに影響を及ぼし、完全に回復するまでに数か月かかる可能性のある停止を引き起こす可能性のある破壊的な攻撃の種をまきました。」
しかし 研究者が公開しているAPTキャンペーンの多くは、サイバースパイ活動に焦点を当てています。 同じグループのいくつかはまた破壊的な操作を実行します。 歴史的に、これらの事業の多くは中東で行われ、重要な国の資産であるエネルギー会社と生産施設に焦点を合わせてきました。
研究者はどの組織の名前も100%上げていませんが このマルウェアの原因は、最初にAPT33がZeroCleareの作成に参加したとコメントしたことです。
その後、IBMはAPT33とAPT34がZeroCleareを作成したと主張しましたが、ドキュメントがリリースされた直後に、属性はxHuntとAPT34に変更され、研究者はそれらがXNUMX%確実ではないことを認めました。
研究者らによると、 ZeroCleare攻撃は日和見的ではありません そして、それらは特定のセクターや組織に向けられた作戦であるように見えます。