ZeroCleare: вредоносное ПО для удаления данных APT34 и xHunt

ZeroCleare

Исследователи безопасности IBM выпустили несколько дней назад они обнаружили новое семейство вредоносных программ под названием "ZeroCleare", созданная иранской хакерской группой APT34 совместно с xHunt, эта вредоносная программа направлена ​​против промышленного и энергетического секторов Ближнего Востока. Исследователи не раскрыли названий компаний-жертв, но провели анализ вредоносного ПО, чтобы подробный отчет на 28 страницах.

ZeroCleare влияет только на Windows так как его название описывает его путь к базе данных программы (PDB) его двоичный файл используется для выполнения деструктивной атаки, которая перезаписывает главную загрузочную запись (MBR) и разделы на скомпрометированных машинах Windows.

ZeroCleare классифицируется как вредоносное ПО с поведением, чем-то похожим на "Shamoon". (Вредоносная программа, о которой много говорили, потому что она использовалась для атак на нефтяные компании еще в 2012 году). Хотя Shamoon и ZeroCleare имеют схожие возможности и поведение, исследователи говорят, что это два отдельных и разных вредоносных ПО.

Как и вредоносная программа Shamoon, ZeroCleare также использует законный контроллер жесткого диска под названием "RawDisk by ElDos"., чтобы перезаписать основную загрузочную запись (MBR) и разделы диска определенных компьютеров под управлением Windows.

Хотя контроллер Два не подписан, вредоносная программа запускает его, загружая драйвер VirtualBox уязвим, но без подписи, используя его для обхода механизма проверки подписи и загрузки неподписанного драйвера ElDos.

Эта вредоносная программа запускается с помощью атак методом грубой силы. получить доступ к слабозащищенным сетевым системам. Как только злоумышленники заражают целевое устройство, они распространяют вредоносное ПО. через сеть компании в качестве последнего шага заражения.

«Очиститель ZeroCleare - это часть завершающей стадии общей атаки. Он предназначен для развертывания двух разных форм, адаптированных к 32-битным и 64-битным системам.

Общий поток событий на 64-битных машинах включает в себя использование уязвимого подписанного драйвера и его последующее использование на целевом устройстве, чтобы позволить ZeroCleare обойти уровень абстракции оборудования Windows и обойти некоторые меры безопасности операционной системы, которые предотвращают запуск неподписанных драйверов на 64-битных. машин », - говорится в отчете IBM.

Первый контроллер в этой цепочке называется soy.exe. и это модифицированная версия загрузчика драйверов Turla. 

диаграмма потока

Этот контроллер используется для загрузки уязвимой версии контроллера VirtualBox., который злоумышленники используют для загрузки драйвера EldoS RawDisk. RawDisk - это легальная утилита, используемая для взаимодействия с файлами и разделами, а также ее использовали злоумышленники Shamoon для доступа к MBR.

Чтобы получить доступ к ядру устройства, ZeroCleare использует намеренно уязвимый драйвер и вредоносные сценарии PowerShell / Batch для обхода элементов управления Windows. Добавив эту тактику, ZeroCleare распространился на множество устройств в затронутой сети, посеяв семена разрушительной атаки, которая может затронуть тысячи устройств и вызвать сбои, на полное восстановление которых могут потребоваться месяцы ",

Хотя многие из APT-кампаний, которые исследователи демонстрируют, сосредоточены на кибершпионаже, некоторые из этих групп также проводят разрушительные операции. Исторически сложилось так, что многие из этих операций проводились на Ближнем Востоке и были сосредоточены на энергетических компаниях и производственных объектах, которые являются жизненно важными национальными активами.

Хотя исследователи не подняли названия какой-либо организации на 100% к которому приписывается это вредоносное ПО, в первую очередь они отметили, что APT33 участвовал в создании ZeroCleare.

Позже IBM заявила, что APT33 и APT34 создали ZeroCleare, но вскоре после публикации документа атрибуция изменилась на xHunt и APT34, и исследователи признали, что не были уверены на XNUMX процентов.

По данным следствия, Атаки ZeroCleare не являются оппортунистическими и они выглядят как операции, направленные против определенных секторов и организаций.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.