Хакер #305. Многошаговые SQL-инъекции
Эксперты IBM выявили новую малварь ZeroCleare, созданную иранскими хакерами и ориентированную против энергетических компаний, работающих на Ближнем Востоке. Исследователи не раскрывают названия компаний-жертв, но анализу самого вредоноса они посвятили 28-страничный детальный отчет.
По информации IBM, вредоносная программа ZeroCleare — это разработка сразу двух иранских хак-групп: xHunt (Hive0081 в отчете IBM) и APT34 (ITG13 в отчете IBM, также известна как Oilrig).
Технически ZeroCleare представляет собой классический вайпер (wiper, от английского wipe — «стирать»), то есть малварь предназначенную для умышленного уничтожения данных на зараженном хосте. Подобные вредоносы, как правило, используются либо для маскировки других атак и удаления важных доказательств взлома, либо с целью осуществления саботажа, чтобы нанести максимальный ущерб жертве и не дать ей выполнять свою обычную деятельность, как это было с атаками Shamoon, NotPetya или Bad Rabbit.
IBM обнаружила две версии малвари: одна разработана для 32-разрядных систем, а вторая для 64-разрядных систем. Причем фактически работает только 64-разрядная версия.
Атаки злоумышленников обычно начинаются с обычного брутфорса, чтобы получить доступ к слабо защищенным учетным данным компаний. Затем они использовали уязвимость SharePoint для установки web-shell, таких как China Chopper и Tunna.
Закрепившись в сети компании, хакеры проникали на максимально возможное количество компьютеров, а затем разворачивали в сети атаку ZeroCleare. Чтобы получить доступ к ядру устройства, ZeroCleare применяет намеренно уязвимый драйвер и вредоносные скрипты PowerShell/Batch для обхода защитных элементов Windows. А получив нужные привилегии на хосте, вредонос загружает EldoS RawDisk, легитимный инструментарий для работы с файлами, дисками и разделами. Он и используется, чтобы стереть MBR и повредить разделы диска на всех возможных сетевых устройствах.
Похожую тактику ранее использовал другой известный вайпер, Shamoon, созданный другой иранской группировкой — APT33 (Hive0016). Пока неясно, участвовала ли APT33 в создании ZeroCleare. Дело в том, что в первоначальной версия отчета IBM утверждала, что APT33 и APT34 создали ZeroCleare, но вскоре после публикации документ был обновлен, атрибуция сменилась на xHunt и APT34, а исследователи признали, что у них нет стопроцентной уверенности.