롯 IBM 보안 연구원 발표 며칠 전에 그들은 "ZeroCleare"라는 새로운 악성 코드 군,이란 해커 그룹 APT34가 xHunt와 함께 생성,이 악성 코드는 중동의 산업 및 에너지 부문을 대상으로합니다. 수사관은 피해자 회사의 이름을 밝히지 않았지만 악성 코드를 분석하여 자세한 28 페이지 보고서.
ZeroCleare는 Windows에만 영향을 미칩니다. 이름이 프로그램 데이터베이스 (PDB)의 경로를 설명하기 때문에 바이너리 파일은 마스터 부트 레코드를 덮어 쓰는 파괴적인 공격을 실행하는 데 사용됩니다. (MBR) 및 손상된 Windows 시스템의 파티션.
ZeroCleare는 "Shamoon"과 유사한 동작을하는 악성 코드로 분류됩니다. (2012 년까지 거슬러 올라가는 석유 회사에 대한 공격에 사용 되었기 때문에 많이 언급 된 멀웨어) Shamoon과 ZeroCleare는 비슷한 기능과 동작을 가지고 있지만 연구원들은이 두 가지가 별개의 별개의 멀웨어라고 말합니다.
Shamoon 악성 코드처럼 ZeroCleare는 또한 "RawDisk by ElDos"라는 합법적 인 하드 디스크 컨트롤러를 사용합니다., Windows를 실행하는 특정 컴퓨터의 MBR (마스터 부트 레코드) 및 디스크 파티션을 덮어 씁니다.
컨트롤러가 두 서명되지 않은 경우 맬웨어는 VirtualBox 드라이버를로드하여 실행합니다. 취약하지만 서명되지 않았으며이를 악용하여 서명 확인 메커니즘을 우회하고 서명되지 않은 ElDos 드라이버를로드합니다.
이 악성 코드는 무차별 대입 공격을 통해 실행됩니다. 보안이 취약한 네트워크 시스템에 액세스합니다. 공격자가 대상 장치를 감염 시키면 악성 코드를 유포합니다. 감염의 마지막 단계로 회사 네트워크를 통해.
“ZeroCleare 클리너는 전체 공격의 마지막 단계의 일부입니다. 32 비트 및 64 비트 시스템에 맞게 조정 된 두 가지 다른 형식을 배포하도록 설계되었습니다.
64 비트 컴퓨터의 일반적인 이벤트 흐름에는 취약한 서명 된 드라이버를 사용한 다음 대상 장치에서이를 악용하여 ZeroCleare가 Windows 하드웨어 추상화 계층을 우회하고 서명되지 않은 드라이버가 64 비트에서 실행되는 것을 방지하는 일부 운영 체제 보호 장치를 우회하는 것이 포함됩니다. 기계 '는 IBM 보고서를 읽습니다.
이 체인의 첫 번째 컨트롤러는 soy.exe입니다. Turla 드라이버 로더의 수정 된 버전입니다.
해당 컨트롤러는 취약한 버전의 VirtualBox 컨트롤러를로드하는 데 사용됩니다., 공격자가 EldoS RawDisk 드라이버를로드하기 위해 악용합니다. RawDisk는 파일 및 파티션과 상호 작용하는 데 사용되는 합법적 인 유틸리티이며 Shamoon 공격자가 MBR에 액세스하는데도 사용되었습니다.
장치의 핵심에 액세스하기 위해 ZeroCleare는 의도적으로 취약한 드라이버와 악성 PowerShell / 배치 스크립트를 사용하여 Windows 제어를 우회합니다. 이러한 전술을 추가함으로써 ZeroCleare는 영향을받는 네트워크의 수많은 장치로 확산되어 수천 개의 장치에 영향을 미칠 수있는 파괴적인 공격의 씨앗을 뿌리고 완전히 복구하는 데 몇 달이 걸릴 수있는 중단을 일으킬 수 있습니다. "
이기는하지만 연구원들이 사이버 스파이 활동에 초점을 맞추고있는 많은 APT 캠페인, 동일한 그룹 중 일부는 파괴적인 작업도 수행합니다. 역사적으로 이러한 작업의 대부분은 중동에서 이루어졌으며 중요한 국가 자산 인 에너지 회사와 생산 시설에 집중했습니다.
연구자들이 어떤 조직의 이름도 100 % 올리지 않았지만 이 멀웨어의 원인이되는 첫 번째 사례에서 그들은 APT33이 ZeroCleare 생성에 참여했다고 언급했습니다.
그리고 나중에 IBM은 APT33과 APT34가 ZeroCleare를 만들었다 고 주장했지만 문서가 공개 된 직후 속성이 xHunt와 APT34로 변경되었고 연구원들은 그들이 XNUMX % 확실하지 않다고 인정했습니다.
연구원들에 따르면 ZeroCleare 공격은 기회 주의적이지 않습니다. 그리고 특정 부문과 조직을 대상으로하는 작전으로 보입니다.