ลอส นักวิจัยด้านความปลอดภัยของ IBM เปิดตัว ไม่กี่วันที่ผ่านมาพวกเขาตรวจพบ กลุ่มมัลแวร์ใหม่ที่เรียกว่า "ZeroCleare"สร้างโดยกลุ่มแฮ็กเกอร์ชาวอิหร่าน APT34 ร่วมกับ xHuntมัลแวร์นี้มุ่งเป้าไปที่ภาคอุตสาหกรรมและพลังงานในตะวันออกกลาง ผู้ตรวจสอบไม่ได้เปิดเผยชื่อ บริษัท เหยื่อ แต่ทำการวิเคราะห์มัลแวร์ให้ รายงาน 28 หน้าโดยละเอียด
ZeroCleare มีผลกับ Windows เท่านั้น เนื่องจากชื่อของมันอธิบายเส้นทางของฐานข้อมูลโปรแกรม (PDB) ของ ไฟล์ไบนารีของมันถูกใช้เพื่อทำการโจมตีแบบทำลายล้างที่เขียนทับมาสเตอร์บูตเรคคอร์ด (MBR) และพาร์ติชันบนเครื่อง Windows ที่ถูกบุกรุก
ZeroCleare จัดเป็นมัลแวร์ที่มีลักษณะการทำงานค่อนข้างคล้ายกับ "Shamoon" (มัลแวร์ที่ถูกพูดถึงอย่างมากเนื่องจากถูกใช้เพื่อโจมตี บริษัท น้ำมันย้อนหลังไปถึงปี 2012) แม้ว่า Shamoon และ ZeroCleare จะมีความสามารถและพฤติกรรมที่คล้ายคลึงกัน แต่นักวิจัยกล่าวว่าทั้งสองเป็นมัลแวร์ที่แยกจากกันและแตกต่างกัน
เช่นเดียวกับมัลแวร์ Shamoon นอกจากนี้ ZeroCleare ยังใช้ตัวควบคุมฮาร์ดดิสก์ที่ถูกต้องซึ่งเรียกว่า "RawDisk by ElDos"เพื่อเขียนทับมาสเตอร์บูตเรคคอร์ด (MBR) และพาร์ติชันดิสก์ของคอมพิวเตอร์เฉพาะที่ใช้ Windows
แม้ว่าตัวควบคุม ทั้งสอง ไม่ได้ลงนามมัลแวร์จะจัดการเพื่อดำเนินการโดยการโหลดไดรเวอร์ VirtualBox มีช่องโหว่ แต่ไม่ได้ลงนามใช้ประโยชน์เพื่อข้ามกลไกการตรวจสอบลายเซ็นและโหลดไดรเวอร์ ElDos ที่ไม่ได้ลงชื่อ
มัลแวร์นี้เปิดตัวผ่านการโจมตีแบบดุร้าย เพื่อเข้าถึงระบบเครือข่ายที่มีความปลอดภัยต่ำ เมื่อผู้โจมตีติดอุปกรณ์เป้าหมายพวกเขาจะแพร่กระจายมัลแวร์ ผ่านเครือข่ายของ บริษัท เป็นขั้นตอนสุดท้ายของการติดเชื้อ
“ เครื่องทำความสะอาด ZeroCleare เป็นส่วนหนึ่งของขั้นตอนสุดท้ายของการโจมตีโดยรวม ได้รับการออกแบบมาเพื่อปรับใช้สองรูปแบบที่แตกต่างกันซึ่งปรับให้เข้ากับระบบ 32 บิตและ 64 บิต
ขั้นตอนทั่วไปของเหตุการณ์บนเครื่อง 64 บิตรวมถึงการใช้ไดรเวอร์ที่ลงนามที่มีช่องโหว่แล้วใช้ประโยชน์จากอุปกรณ์เป้าหมายเพื่ออนุญาตให้ ZeroCleare ข้ามเลเยอร์นามธรรมของฮาร์ดแวร์ Windows และข้ามการป้องกันระบบปฏิบัติการบางอย่างที่ป้องกันไม่ให้ไดรเวอร์ที่ไม่ได้ลงชื่อทำงานบน 64 บิต เครื่องอ่านรายงาน IBM
ตัวควบคุมแรกในเครือนี้เรียกว่า soy.exe และเป็นเวอร์ชันดัดแปลงของตัวโหลดไดรเวอร์ Turla
ตัวควบคุมนั้นใช้เพื่อโหลดตัวควบคุม VirtualBox เวอร์ชันที่มีช่องโหว่ซึ่งผู้โจมตีใช้ประโยชน์ในการโหลดไดรเวอร์ EldoS RawDisk RawDisk เป็นยูทิลิตี้ที่ถูกต้องซึ่งใช้ในการโต้ตอบกับไฟล์และพาร์ติชันและยังใช้โดยผู้โจมตี Shamoon เพื่อเข้าถึง MBR
ในการเข้าถึงแกนกลางของอุปกรณ์ ZeroCleare ใช้ไดรเวอร์ที่มีช่องโหว่โดยเจตนาและสคริปต์ PowerShell / Batch ที่เป็นอันตรายเพื่อข้ามการควบคุมของ Windows ด้วยการเพิ่มกลยุทธ์เหล่านี้ ZeroCleare แพร่กระจายไปยังอุปกรณ์จำนวนมากในเครือข่ายที่ได้รับผลกระทบหว่านเมล็ดพันธุ์ของการโจมตีแบบทำลายล้างที่อาจส่งผลกระทบต่ออุปกรณ์หลายพันเครื่องและทำให้เกิดการหยุดทำงานซึ่งอาจใช้เวลาหลายเดือนในการฟื้นตัวเต็มที่ "
แม้ว่า แคมเปญ APT จำนวนมากที่นักวิจัยให้ความสำคัญกับการจารกรรมทางไซเบอร์ กลุ่มเดียวกันบางกลุ่มยังปฏิบัติการทำลายล้าง ในอดีตการดำเนินงานหลายอย่างเกิดขึ้นในตะวันออกกลางและมุ่งเน้นไปที่ บริษัท พลังงานและโรงงานผลิตซึ่งเป็นทรัพย์สินที่สำคัญของประเทศ
แม้ว่านักวิจัยจะไม่ได้ขึ้นชื่อองค์กรใด 100% ก็ตาม ซึ่งเป็นที่มาของมัลแวร์นี้ในกรณีแรกพวกเขาแสดงความคิดเห็นว่า APT33 มีส่วนร่วมในการสร้าง ZeroCleare
หลังจากนั้น IBM อ้างว่า APT33 และ APT34 สร้าง ZeroCleare แต่ไม่นานหลังจากเผยแพร่เอกสารการระบุแหล่งที่มาก็เปลี่ยนเป็น xHunt และ APT34 และนักวิจัยยอมรับว่าพวกเขาไม่แน่ใจ XNUMX เปอร์เซ็นต์
ตามที่นักวิจัย การโจมตี ZeroCleare ไม่ใช่การฉวยโอกาส และดูเหมือนว่าจะดำเนินการกับภาคส่วนและองค์กรที่เฉพาะเจาะจง