den IBM sikkerhetsforskere løslatt for noen dager siden oppdaget de en ny familie av malware kalt "ZeroCleare", opprettet av en iransk hackergruppe APT34 sammen med xHunt, denne malware er rettet mot industri- og energisektoren i Midt-Østen. Etterforskere avslører ikke navnene på offerbedriftene, men gjorde en analyse av skadelig programvare til en detaljert 28-siders rapport.
ZeroCleare påvirker bare Windows siden navnet på den beskriver banen til programdatabasen (PDB) til dens binære fil brukes til å utføre et destruktivt angrep som overskriver hovedoppstartsposten (MBR) og partisjoner på kompromitterte Windows-maskiner.
ZeroCleare er klassifisert som en skadelig programvare med en oppførsel som ligner den som "Shamoon" (en skadelig programvare som det ble snakket mye om fordi den ble brukt til angrep på oljeselskaper helt tilbake til 2012) Selv om Shamoon og ZeroCleare har lignende evner og atferd, sier forskere at de to er separate og tydelige deler av skadelig programvare.
Som Shamoon malware, ZeroCleare bruker også en legitim harddiskkontroller kalt "RawDisk by ElDos", for å overskrive master boot record (MBR) og diskpartisjoner på bestemte datamaskiner som kjører Windows.
Selv om kontrolleren De to er ikke signert, klarer skadelig programvare å utføre den ved å laste inn en VirtualBox-driver sårbar, men usignert, og utnytter den til å omgå signaturverifiseringsmekanismen og laster den usignerte ElDos-driveren.
Denne skadelige programvaren lanseres gjennom brute force-angrep for å få tilgang til svakt sikre nettverkssystemer. Når angriperne infiserer målenheten, sprer de skadelig programvare via firmanettverket som det siste trinnet i infeksjonen.
“ZeroCleare-rengjøringsmidlet er en del av den siste fasen av det samlede angrepet. Den er designet for å distribuere to forskjellige former, tilpasset 32- og 64-bits systemer.
Den generelle strømmen av hendelser på 64-bits maskiner inkluderer bruk av en sårbar signert driver og deretter utnyttelse av den på målenheten for å tillate ZeroCleare å omgå Windows-maskinvareabstraksjonslaget og omgå noen garantier for operativsystem som forhindrer at usignerte drivere kjører på 64-bit. maskiner ', leser IBM-rapporten.
Den første kontrolleren i denne kjeden heter soy.exe og det er en modifisert versjon av Turla driverlaster.
Denne kontrolleren brukes til å laste inn en sårbar versjon av VirtualBox-kontrolleren, som angripere utnytter for å laste EldoS RawDisk-driveren. RawDisk er et legitimt verktøy som brukes til å samhandle med filer og partisjoner, og det ble også brukt av Shamoon-angripere for å få tilgang til MBR.
For å få tilgang til enhetens kjerne bruker ZeroCleare en bevisst sårbar driver og ondsinnede PowerShell / Batch-skript for å omgå Windows-kontroller. Ved å legge til disse taktikkene spredte ZeroCleare seg til en rekke enheter på det berørte nettverket, og så frøene til et destruktivt angrep som kan påvirke tusenvis av enheter og forårsake avbrudd som kan ta måneder å komme seg helt, "
Selv mange av APT-kampanjene forskerne avslører fokus på cyberspionasje, noen av de samme gruppene utfører også destruktive operasjoner. Historisk sett har mange av disse operasjonene funnet sted i Midt-Østen og har fokusert på energiselskaper og produksjonsanlegg, som er viktige nasjonale eiendeler.
Selv om forskerne ikke har hevet navnene på noen organisasjon 100% som denne malware tilskrives, kommenterte de i første omgang at APT33 deltok i etableringen av ZeroCleare.
Og senere hevdet IBM at APT33 og APT34 opprettet ZeroCleare, men kort tid etter at dokumentet ble utgitt, ble henvisningen endret til xHunt og APT34, og forskerne innrømmet at de ikke var XNUMX prosent sikre.
Ifølge etterforskerne ZeroCleare-angrep er ikke opportunistiske og de ser ut til å være operasjoner rettet mot spesifikke sektorer og organisasjoner.