De IBM-beveiligingsonderzoekers vrijgegeven een paar dagen geleden ontdekten ze een nieuwe familie van malware genaamd "ZeroCleare", gemaakt door een Iraanse hackergroep APT34 samen met xHuntis deze malware gericht tegen de industriële en energiesectoren in het Midden-Oosten. De onderzoekers hebben de namen van de slachtofferbedrijven niet bekendgemaakt, maar hebben de malware geanalyseerd een gedetailleerd rapport van 28 pagina's.
ZeroCleare is alleen van invloed op Windows aangezien de naam het beschrijft het pad van de programmadatabase (PDB) van het binaire bestand wordt gebruikt om een destructieve aanval uit te voeren die het master-opstartrecord overschrijft (MBR) en partities op gecompromitteerde Windows-machines.
ZeroCleare is geclassificeerd als malware met een gedrag dat enigszins lijkt op dat van "Shamoon" (Een malware waarover veel werd gesproken omdat deze werd gebruikt voor aanvallen op oliemaatschappijen die teruggaan tot 2012) Hoewel Shamoon en ZeroCleare vergelijkbare capaciteiten en gedrag vertonen, zeggen onderzoekers dat het twee afzonderlijke en verschillende soorten malware zijn.
Net als de Shamoon-malware, ZeroCleare gebruikt ook een legitieme harddiskcontroller genaamd "RawDisk by ElDos", om de Master Boot Record (MBR) en schijfpartities van specifieke computers met Windows te overschrijven.
Hoewel de controller De twee niet ondertekend is, slaagt de malware erin het uit te voeren door een VirtualBox-stuurprogramma te laden kwetsbaar maar niet ondertekend, het misbruikt om het handtekeningverificatiemechanisme te omzeilen en de niet-ondertekende ElDos-driver te laden.
Deze malware wordt gelanceerd door middel van brute force-aanvallen om toegang te krijgen tot zwak beveiligde netwerksystemen. Zodra de aanvallers het doelapparaat hebben geïnfecteerd, verspreiden ze de malware via het bedrijfsnetwerk als laatste stap van de infectie.
“De ZeroCleare-reiniger maakt deel uit van de laatste fase van de algehele aanval. Het is ontworpen om twee verschillende vormen te implementeren, aangepast aan 32-bits en 64-bits systemen.
De algemene stroom van gebeurtenissen op 64-bits machines omvat het gebruik van een kwetsbaar ondertekend stuurprogramma en het vervolgens misbruiken op het doelapparaat om ZeroCleare in staat te stellen de Windows-hardware-abstractielaag te omzeilen en enkele beveiligingsmaatregelen van het besturingssysteem te omzeilen die voorkomen dat de niet-ondertekende stuurprogramma's op 64-bits worden uitgevoerd machines ', luidt het IBM-rapport.
De eerste controller in deze keten heet soy.exe en het is een aangepaste versie van de Turla driver loader.
Die controller wordt gebruikt om een kwetsbare versie van de VirtualBox-controller te laden, die aanvallers misbruiken om de EldoS RawDisk-driver te laden. RawDisk is een legitiem hulpprogramma dat wordt gebruikt om te communiceren met bestanden en partities, en het werd ook gebruikt door Shamoon-aanvallers om toegang te krijgen tot de MBR.
Om toegang te krijgen tot de kern van het apparaat, gebruikt ZeroCleare een opzettelijk kwetsbare driver en kwaadaardige PowerShell / Batch-scripts om Windows-besturingselementen te omzeilen. Door deze tactieken toe te voegen, verspreidde ZeroCleare zich naar talloze apparaten op het getroffen netwerk en zaaide de kiem van een destructieve aanval die duizenden apparaten zou kunnen treffen en uitval zou kunnen veroorzaken die maanden kan duren om volledig te herstellen. "
Hoewel veel van de APT-campagnes die de onderzoekers blootleggen, richten zich op cyberspionage, enkele van dezelfde groepen voeren ook destructieve operaties uit. Historisch gezien vonden veel van deze operaties plaats in het Midden-Oosten en waren ze gericht op energiebedrijven en productiefaciliteiten, die vitale nationale activa zijn.
Hoewel de onderzoekers de namen van geen enkele organisatie 100% hebben verhoogd waaraan deze malware wordt toegeschreven, merkten ze in eerste instantie op dat APT33 heeft deelgenomen aan de oprichting van ZeroCleare.
En later beweerde IBM dat APT33 en APT34 ZeroCleare hadden gemaakt, maar kort nadat het document was vrijgegeven, veranderde de attributie in xHunt en APT34, en de onderzoekers gaven toe dat ze niet XNUMX procent zeker waren.
Volgens de onderzoekers, ZeroCleare-aanvallen zijn niet opportunistisch en het lijken operaties te zijn gericht tegen specifieke sectoren en organisaties.