Os Pesquisadores de segurança da IBM lançados alguns dias atrás eles detectaram uma nova família de malware chamada "ZeroCleare", criado por um grupo de hackers iraniano APT34 juntamente com xHunt, esse malware é direcionado contra os setores industrial e de energia no Oriente Médio. Os investigadores não revelaram os nomes das empresas vítimas, mas fizeram uma análise do malware para um relatório detalhado de 28 páginas.
ZeroCleare afeta apenas o Windows já que como seu nome o descreve, o caminho do banco de dados do programa (PDB) de seu arquivo binário é usado para executar um ataque destrutivo que sobrescreve o registro mestre de inicialização (MBR) e partições em máquinas Windows comprometidas.
ZeroCleare é classificado como um malware com um comportamento um tanto semelhante ao de "Shamoon" (um malware sobre o qual se falou muito porque foi usado para ataques a empresas de petróleo desde 2012) Embora Shamoon e ZeroCleare tenham recursos e comportamentos semelhantes, os pesquisadores dizem que os dois são peças separadas e distintas de malware.
Como o malware Shamoon, ZeroCleare também usa um controlador de disco rígido legítimo chamado "RawDisk by ElDos", para substituir o registro mestre de inicialização (MBR) e as partições de disco de computadores específicos que executam o Windows.
Embora o controlador Os dois não está assinado, o malware consegue executá-lo carregando um driver do VirtualBox vulnerável, mas não assinado, explorando-o para contornar o mecanismo de verificação de assinatura e carregar o driver ElDos não assinado.
Este malware é lançado por meio de ataques de força bruta para obter acesso a sistemas de rede fracamente seguros. Assim que os atacantes infectam o dispositivo alvo, eles espalham o malware através da rede da empresa como a última etapa da infecção.
“O limpador ZeroCleare faz parte da fase final do ataque geral. Ele é projetado para implantar duas formas diferentes, adaptadas para sistemas de 32 e 64 bits.
O fluxo geral de eventos em máquinas de 64 bits inclui o uso de um driver assinado vulnerável e, em seguida, explorá-lo no dispositivo de destino para permitir que ZeroCleare contorne a camada de abstração de hardware do Windows e contorne algumas proteções do sistema operacional que impedem que os drivers não assinados sejam executados em 64 bits máquinas ', lê o relatório da IBM.
O primeiro controlador desta cadeia é denominado soy.exe e é uma versão modificada do carregador de driver Turla.
Esse controlador é usado para carregar uma versão vulnerável do controlador VirtualBox, que os invasores exploram para carregar o driver EldoS RawDisk. RawDisk é um utilitário legítimo usado para interagir com arquivos e partições, e também foi usado por atacantes do Shamoon para acessar o MBR.
Para obter acesso ao núcleo do dispositivo, ZeroCleare usa um driver intencionalmente vulnerável e scripts PowerShell / Batch mal-intencionados para ignorar os controles do Windows. Ao adicionar essas táticas, o ZeroCleare se espalhou para vários dispositivos na rede afetada, semeando as sementes de um ataque destrutivo que pode afetar milhares de dispositivos e causar interrupções que podem levar meses para se recuperar totalmente ".
Embora muitas das campanhas APT que os pesquisadores expõem têm como foco a espionagem cibernética, alguns dos mesmos grupos também realizam operações destrutivas. Historicamente, muitas dessas operações ocorreram no Oriente Médio e se concentraram em empresas de energia e instalações de produção, que são ativos nacionais vitais.
Embora os pesquisadores não tenham levantado o nome de nenhuma organização 100% a que se atribui este malware, em primeira instância comentaram que o APT33 participou na criação do ZeroCleare.
E mais tarde a IBM afirmou que o APT33 e o APT34 criaram o ZeroCleare, mas logo depois que o documento foi lançado, a atribuição mudou para xHunt e APT34, e os pesquisadores admitiram que não estavam XNUMX por cento certos.
Segundo os investigadores, Ataques ZeroCleare não são oportunistas e parecem ser operações dirigidas contra setores e organizações específicos.