Investigadores de seguridad de IBM descubrieron un malware previamente desconocido que parece ser desarrollado por piratas informáticos iraníes y fue utilizado en ataques destructivos de borrado de datos contra entidades industriales y energéticas en el Medio Oriente.
El nuevo malware, denominado "ZeroCleare", tiene cierta similitud con el infame limpiador Shamoon que dañó decenas de miles de computadoras en el gigante petrolero Saudi Aramco en 2012, ya que también sobrescribe el registro maestro de arranque (MBR) y las particiones de disco de Windows. sistemas que utilizan la herramienta legítima EldoS RawDisk y aprovechan controladores vulnerables y scripts maliciosos de PowerShell / Batch para evitar los controles de Windows. Sin embargo, los investigadores creen que ZeroCleare no está relacionado con la familia de malware Shamoon, ya que no encontraron ninguna similitud en el código del malware.
ZeroCleare se extendió a numerosos dispositivos en la red afectada, con la intención de causar varios daños a la organización objetivo. Según IBM, los ataques ZeroCleare no fueron oportunistas, sino más bien dirigidos a organizaciones específicas. Los expertos también creen que ZeroCleare fue desarrollado por un conocido actor de amenazas patrocinado por Irán APT34 / OilRig (también conocido como ITG13) y que los ataques se llevaron a cabo en colaboración con otro grupo no identificado, probablemente con sede en Irán.
"El flujo general de eventos en máquinas de 64 bits incluye el uso de un controlador firmado vulnerable y luego explotarlo en el dispositivo de destino para permitir que ZeroCleare omita la capa de abstracción de hardware de Windows y evite algunas salvaguardas del sistema operativo que evitan que los controladores no firmados se ejecuten en 64 -máquinas de bits ”, reveló el informe.
"Es probable que esta solución se haya utilizado porque los dispositivos basados en Windows de 64 bits están protegidos con Driver Signature Enforcement (DSE)".
Los investigadores dijeron que la etapa inicial de los ataques involucraba a hackers que ejecutaban ataques de fuerza bruta para obtener acceso a las cuentas de red de la compañía. A partir de ahí, intentarían explotar una vulnerabilidad de SharePoint para instalar shells web como China Chopper y Tunna. El equipo de X-Force IRIS también encontró un shell web adicional llamado extension.aspx, que compartía similitudes con otra herramienta de OilRig conocida como TWOFACE / SEASHARPEE, un shell web diseñado para ejecutarse en servidores web con ASP.NET.
Los piratas informáticos también utilizaron software legítimo de acceso remoto, como TeamViewer, así como una versión ofuscada de Mimikatz para recopilar credenciales de servidores comprometidos, dijeron los investigadores.
https://securityintelligence.com/posts/new-destructive-wiper-zerocleare-targets-energy-sector-in-the-middle-east/
