MGI IBM安全研究人员发布 几天前,他们检测到 一个新的恶意软件家族,称为“ ZeroCleare”,由伊朗黑客组织APT34与xHunt共同创建,该恶意软件针对中东的工业和能源领域。 调查人员没有透露受害公司的名称,而是对恶意软件进行了分析,以 详细的28页报告。
ZeroCleare仅影响Windows 因为它的名称描述了它的程序数据库(PDB)的路径 其二进制文件用于执行破坏性攻击,该攻击会覆盖主引导记录 (MBR)和受感染Windows计算机上的分区。
ZeroCleare被归类为恶意软件,其行为与“ Shamoon”类似 (一种被讨论最多的恶意软件,因为它可用于对2012年的石油公司的攻击)尽管Shamoon和ZeroCleare具有相似的功能和行为,但研究人员表示,这两种是截然不同的恶意软件。
像Shamoon恶意软件一样, ZeroCleare还使用称为“ RawDisk by ElDos”的合法硬盘控制器。,以覆盖运行Windows的特定计算机的主引导记录(MBR)和磁盘分区。
虽然控制器 他们俩 未签名,恶意软件设法通过加载VirtualBox驱动程序来执行它 易受攻击但未签名的漏洞,利用它绕过了签名验证机制并加载未签名的ElDos驱动程序。
该恶意软件是通过蛮力攻击启动的 获得对安全性较弱的网络系统的访问权限。 攻击者感染目标设备后,便会传播恶意软件 通过公司网络作为感染的最后一步。
“ ZeroCleare清洁器是整个攻击过程最后阶段的一部分。 它旨在部署两种不同的形式,以适应32位和64位系统。
64位计算机上的事件的一般流程包括使用易受攻击的签名驱动程序,然后在目标设备上对其进行利用,以使ZeroCleare绕过Windows硬件抽象层并绕过某些操作系统保护措施,以防止Unsigned驱动程序在64位运行机器”,读取IBM报告。
该链中的第一个控制器称为soy.exe 它是Turla驱动程序加载程序的修改版本。
该控制器用于加载VirtualBox控制器的易受攻击的版本,攻击者利用此漏洞来加载EldoS RawDisk驱动程序。 RawDisk是一个合法的实用程序,用于与文件和分区进行交互,Shamoon攻击者还使用它来访问MBR。
为了获得对设备核心的访问权限,ZeroCleare使用了故意易受攻击的驱动程序和恶意的PowerShell / Batch脚本来绕过Windows控件。 通过添加这些策略,ZeroCleare可以传播到受影响的网络上的许多设备,播种破坏性攻击的种子,这种攻击可能会影响成千上万的设备,并导致中断,可能需要数月才能完全恢复。”
虽然 研究人员开展了许多APT活动,重点关注网络间谍活动, 其中一些团体也进行破坏性行动。 从历史上看,其中许多操作都发生在中东,并且集中于能源公司和生产设施,这是至关重要的国家资产。
尽管研究人员尚未将任何组织的名称提高100% 该恶意软件归因于此,他们首先评论说APT33参与了ZeroCleare的创建。
随后,IBM声称APT33和APT34创建了ZeroCleare,但是在文档发布后不久,该属性便更改为xHunt和APT34,研究人员承认他们并不确定XNUMX%。
根据研究人员, ZeroCleare攻击不是机会主义的 它们似乎是针对特定部门和组织的行动。