mycket IBM-säkerhetsforskare släppte för några dagar sedan upptäckte de en ny familj av skadlig kod som heter "ZeroCleare", skapad av en iransk hackargrupp APT34 tillsammans med xHunt, är detta skadliga program riktat mot industri- och energisektorn i Mellanöstern. Utredarna avslöjade inte namnen på offerföretagen, men gjorde en analys av skadlig programvara till en detaljerad 28-sidig rapport.
ZeroCleare påverkar endast Windows eftersom dess namn beskriver sökvägen till programdatabasen (PDB) för dess binära fil används för att utföra en destruktiv attack som skriver över huvudstartposten (MBR) och partitioner på komprometterade Windows-maskiner.
ZeroCleare klassificeras som skadlig kod med ett beteende som liknar "Shamoon" (En skadlig kod som man talade mycket om för att den användes för attacker mot oljebolag från 2012) Även om Shamoon och ZeroCleare har liknande funktioner och beteenden, säger forskare att de två är separata och distinkta bitar av skadlig kod.
Liksom Shamoon malware, ZeroCleare använder också en legitim hårddiskstyrenhet som heter "RawDisk by ElDos", för att skriva över Master Boot Record (MBR) och diskpartitioner på specifika datorer som kör Windows.
Även om styrenheten De två är inte signerad, klarar skadlig programvara att köra den genom att ladda en VirtualBox-drivrutin sårbar men osignerad, använder den för att kringgå mekanismen för signaturverifiering och ladda den osignerade ElDos-drivrutinen.
Den här skadliga programvaran lanseras genom brute force-attacker för att få tillgång till svagt säkra nätverkssystem. När angriparna infekterar målenheten sprider de skadlig programvara via företagsnätverket som det sista steget i infektionen.
”ZeroCleare-rengöraren är en del av den sista etappen av den totala attacken. Den är utformad för att distribuera två olika former, anpassade till 32- och 64-bitars system.
Det allmänna flödet av händelser på 64-bitars maskiner inkluderar att använda en sårbar signerad drivrutin och sedan utnyttja den på målenheten för att tillåta ZeroCleare att kringgå Windows-maskinvaruabstraktionsskiktet och kringgå vissa säkerhetsåtgärder för operativsystem som förhindrar att de osignerade drivrutinerna körs på 64-bitars maskiner, läser IBM-rapporten.
Den första styrenheten i denna kedja kallas soy.exe och det är en modifierad version av Turla-drivrutinen.
Denna styrenhet används för att ladda en sårbar version av VirtualBox-styrenheten, som angripare utnyttjar för att ladda EldoS RawDisk-drivrutinen. RawDisk är ett legitimt verktyg som används för att interagera med filer och partitioner, och det användes också av Shamoon-angripare för att komma åt MBR.
För att få tillgång till enhetskärnan använder ZeroCleare en avsiktligt sårbar drivrutin och skadliga PowerShell / Batch-skript för att kringgå Windows-kontroller. Genom att lägga till dessa taktiker spridte ZeroCleare sig till många enheter i det drabbade nätverket, sådd frön till en destruktiv attack som kan påverka tusentals enheter och orsaka avbrott som kan ta månader att återhämta sig helt, "
Även många av APT-kampanjerna visar forskarna fokus på cyberspionage, några av samma grupper genomför också destruktiva operationer. Historiskt sett har många av dessa operationer ägt rum i Mellanöstern och har fokuserat på energiföretag och produktionsanläggningar, som är viktiga nationella tillgångar.
Även om forskarna inte har tagit upp namnen på någon organisation 100% som detta skadliga program tillskrivs, kommenterade de i första hand att APT33 deltog i skapandet av ZeroCleare.
Och senare hävdade IBM att APT33 och APT34 skapade ZeroCleare, men strax efter att dokumentet släpptes ändrades tillskrivningen till xHunt och APT34, och forskarna medgav att de inte var XNUMX procent säkra.
Enligt utredare, ZeroCleare-attacker är inte opportunistiska och de verkar vara operationer riktade mot specifika sektorer och organisationer.