很多 IBM 安全研究人員披露 幾天前他們發現 一個名為“ZeroClare”的新惡意軟件家族,由伊朗黑客組織 APT34 與 xHunt 共同創建,該惡意軟件針對中東的工業和能源部門。 研究人員沒有透露受害公司的名稱,但他們專門對惡意軟件進行了分析 詳細的28頁報告。
ZeroClear 僅影響 Windows 因為正如其名稱所描述的,它是程序數據庫 (PDB) 的路徑 它的二進製文件用於執行覆蓋主引導記錄的破壞性攻擊 (MBR) 和受感染 Windows 計算機上的分區。
ZeroClare 被歸類為一種惡意軟件,其行為與“Shamoon”有些相似 (這是一種備受關注的惡意軟件,因為它自 2012 年起就被用來攻擊石油公司)儘管 Shamoon 和 ZeroClare 具有相似的功能和行為,但研究人員表示,這兩者是獨立且不同的惡意軟件。
就像 Shamoon 惡意軟件一樣, ZeroClare 還使用名為“RawDisk by ElDos”的合法硬盤驅動程序,覆蓋運行 Windows 的特定計算機的主引導記錄 (MBR) 和磁盤分區。
雖然控制器 他們倆 未簽名,惡意軟件設法通過加載 VirtualBox 驅動程序來執行它 易受攻擊但未簽名,利用它繞過簽名驗證機制並加載未簽名的 ElDos 驅動程序。
該惡意軟件是通過暴力攻擊啟動的 訪問弱安全網絡系統。 一旦攻擊者感染目標設備,他們就會傳播惡意軟件 通過公司網絡作為感染的最後一步。
“ZeroClare 清理器是整個攻擊最後階段的一部分。 它設計為以兩種不同的方式部署,適應 32 位和 64 位系統。
64 位機器上的一般事件流程包括使用易受攻擊的簽名驅動程序,然後在目標設備上利用它,以允許 ZeroClear 繞過 Windows 硬件抽象層並繞過一些阻止未簽名驅動程序在 64 位機器上運行的操作系統保護措施,”IBM 報告中寫道。
該鏈中的第一個控制器稱為 soy.exe 是 Turla 驅動程序加載器的修改版本。
該驅動程序用於加載 VirtualBox 驅動程序的易受攻擊版本,攻擊者利用該漏洞加載 EldoS RawDisk 驅動程序。 RawDisk 是用於與文件和分區交互的合法實用程序,Shamoon 攻擊者也使用它來訪問 MBR。
為了訪問設備內核,ZeroClare 使用故意存在漏洞的驅動程序和惡意 PowerShell/Batch 腳本來繞過 Windows 控制。 通過添加這些策略,ZeroClear 傳播到受影響網絡上的眾多設備,播下了破壞性攻擊的種子,這種攻擊可能會影響數千台設備並導致可能需要數月才能完全恢復的中斷。”
雖然 研究人員揭露的許多 APT 活動都集中在網絡間諜活動上, 其中一些團體還進行破壞性活動。 從歷史上看,許多此類業務都發生在中東,並集中在能源公司和生產設施上,這些都是重要的國家資產。
儘管研究人員還沒有100%提出任何組織的名字 該惡意軟件的來源是,他們首先評論說 APT33 參與了 ZeroClare 的創建。
然後IBM後來聲稱APT33和APT34創建了ZeroClear,但論文發表後不久,歸屬就變成了xHunt和APT34,研究人員承認他們並不能XNUMX%確定。
據研究人員說, ZeroClear 攻擊不是機會主義的 它們似乎是針對特定部門和組織的行動。