Os investigadores descobriram uma nova onda de ataques destrutivos do grupo de hackers iranianos e que está a utilizar o malware “ZeroCleare” para limpar o disco e o MBR, e com isso, também, danificar as partições de disco de um grande número de dispositivos disponíveis numa rede de computadores.
O malware ZeroCleare ataca várias indústrias, como os setores industrial e de energia, principalmente no Médio Oriente. Acredita-se que o malware seja desenvolvido e implantado por um grupo de hackers proveniente do Irão.
Os investigadores encontram evidências de que o malware ZeroCleare tem semelhanças com outro da mesma família denominado por Shamoon.
O ZeroCleare, em específico, visa principalmente substituir o MBR (Master Boot Record) e partições de disco de máquinas Windows disponíveis na rede.
Com o modus operandi bastnte similar ao Shamoon , o ZeroCleare empregou o EldoS RawDisk, um kit de ferramentas legítimo para interagir com ficheiros, discos e partições. O principal objetivo do malware é limpar o MBR e as partições de disco danificadas.
Para ignorar os controlos do Windows, os agentes de ameaças usam drivers vulneráveis e scripts maliciosos do PowerShell / Batch, além de ferramentas Living off the Land (LOL), para mascarar as suas atividades e se movimentar lateralmente pela rede.
No Médio Oriente é mais frequentemente este tipo de ataques, onde são visados o sector industrial e de energia.
Researchers believe that ” When these attacks are carried out by nation-state adversaries, they often have military objectives that can include accessing systems to deny access to, degrade, disrupt, deceive, or destroy the device/data.”
Durante a sua investigação, os especialistas observaram alguns ficheiros maliciosos usados em dispositivos infetados com o malware ZeroCleare, e que se disseminaram através de rede comprometidas.
Nesta lista, os ficheiros PowerShell e os scripts .bat são usados para espalhar e executar o malware ZeroCleare no domínio.
“ClientUpdate.ps1, The main PowerShell script spread itself Domain Controllers and it using the Active Directory PowerShell module GetADComputer cmdlet to identify lists of target devices to copy and execute the malware.”
According to IBM X-Force research ” Since ZeroCleare relies on the EldoS RawDisk driver, which is not a signed driver and would therefore not run by default, the attackers use an intermediary file named soy.exe to perform the workaround. They load a vulnerable but signed VBoxDrv driver, which the DSE accepts and runs, and then exploit it to load the unsigned driver, thereby avoiding DSE rejection of the EldoS driver. ”
The ZeroCleare wiper will be automatically executing itself in the final stage and delivering the file name ClientUpdate.exe that runs with legitimate license key for EldoS RawDisk driver and proceed to the disk wiping phase.
O whitepaper relativo a esta ameça pode ser consultado aqui.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.