來自IBM的安全研究人員今天說,他們發現了一種新的破壞性的資料擦除惡意軟體,它是由伊朗政府資助的駭客開發的,並部署在對活躍於中東的能源公司的網路攻擊中。
IBM沒有透露最近遭到攻擊的公司和資料被抹殺的公司。
相反,IBM的X-Force安全團隊專注於分析惡意軟體本身,他們將其命名為ZeroCleare。
有關該工具功能的28頁PDF報告可用,IBM說它與Shamoon非常相似,Shamoon 是過去十年中最危險和最具破壞性的惡意軟體品種之一。這篇文章的主要發現摘要在下面的文章中。
由XHUNT和APT34建立
與許多網路安全公司不同,IBM的X-Force團隊並沒有迴避將惡意軟體和攻擊歸因於特定國家(在本例中為伊朗)。
IBM安全團隊說:“基於對惡意軟體和攻擊者行為的分析,我們懷疑位於伊朗的民族國家對手正在開發和部署這種新型抽頭。”
但是與以前通常由一個小組進行的許多先前的網路攻擊不同,IBM說,這種惡意軟體和背後的攻擊似乎是伊朗政府支援的兩個頂級駭客部門之間的協作。
據IBM稱,ZeroCleare惡意軟體是xHunt(在IBM報告中為Hive0081)和APT34(在IBM報告中為ITG13,也稱為Oilrig)的結晶。
ZEROCLEARE惡意軟體
至於惡意軟體本身,ZeroCleare是您的經典“刮水器”,這是一種惡意軟體,旨在從受感染的主機中刪除儘可能多的資料。
抽頭惡意軟體通常在兩種情況下使用。它要麼透過刪除重要的法證證據來掩蓋入侵,要麼被用來損害受害者進行正常商業活動的能力,例如Shamoon,NotPetya或Bad Rabbit等攻擊。
IBM在研究最近的ZeroCleare攻擊時,表示已識別出兩種版本的惡意軟體。一個是為32位系統建立的,另一個是為64位系統建立的。在這兩個版本中,IBM表示只有64位版本實際有效。
研究人員說,攻擊通常始於駭客執行暴力攻擊以訪問安全性較弱的公司網路帳戶。
一旦他們獲得了公司伺服器帳戶的訪問許可權,便利用SharePoint漏洞安裝了諸如China Chopper和Tunna之類的Web Shell。
一旦攻擊者在公司內部站穩腳跟,他們就會在網路內部橫向傳播到儘可能多的計算機,並在此部署ZeroCleare作為感染的最後一步。
IBM說:“為了獲得對裝置核心的訪問許可權,ZeroCleare使用了故意易受攻擊的驅動程式和惡意的PowerShell / Batch指令碼來繞過Windows控制元件。”
一旦ZeroCleare在主機上獲得了特權提升,它就會載入EldoS RawDisk,這是用於與檔案,磁碟和分割槽進行互動的合法工具包。
研究人員說,然後,該惡意軟體濫用了該合法工具,以“擦除MBR並損壞大量網路裝置上的磁碟分割槽”。
IBM的研究人員指出,最近臭名昭著的惡意軟體Shamoon版本,用於近期在去年,還濫用同Eldos原始磁碟工具包,其“破壞性”的行為。Shamoon也是由伊朗駭客建立和運營的,但由另一個組織APT33(Hive0016)建立和運營。尚不清楚APT33是否參與ZeroCleare的建立。IBM報告的初始版本聲稱APT33和APT34已經建立了ZeroCleare,但是在釋出後不久將其更新為xHunt和APT34,這表明歸因尚未100%明確。
IBM報告中詳細介紹的其他工件和危害指標將ZeroCleare與xHunt和APT34繫結在一起。
今年秋天發生了襲擊,被“鎖定”
儘管IBM沒有分享有關ZeroCleare受害者的任何詳細資訊,但今年秋天傳送的IBM每日威脅評估表明IBM於9月20日左右首次瞭解了這種新的惡意軟體和攻擊。
IBM說,ZeroCleare攻擊都不是機會主義的,而且似乎是針對非常特定的組織的。
過去的Shamoon攻擊針對的是中東地區活躍的能源行業公司,這些公司要麼是沙特公司,要麼是沙特石油和天然氣企業的知名合作伙伴。
IBM詳細報告:
New Destructive Wiper “ZeroCleare” Targets,Energy Sector in the Middle East
https://www.ibm.com/downloads/cas/OAJ4VZNJ、
參考:
https://www.zdnet.com/article/iranian-hackers-deploy-new-zerocleare-data-wiping-malware/
關注微信公眾號:紅數位 閱讀更多
混跡安全圈,每日必看!