بدافزار پاک‌کننده‌ی داده‌ی جدید به نام ZeroClear بخش انرژی را هدف قرار می‌دهد

پژوهش‌گران امنیت سایبری یک بدافزار پاک‌کننده‌ی داده‌ی مخرب جدید کشف کرده‌اند که توسط نفوذگران تحت حمایت دولت استفاده می‌شود تا سازمان‌های انرژی و صنعتی خاورمیانه را هدف قرار دهد. این بدافزار پاک‌کننده‌ی داده که ZeroClear نامیده می‌شود به دو گروه نفوذ نسبت داده می‌شود که یکی از آن‌ها APT34 یا همان ITG13 و Oilrig و دیگری Hive0081 یا همان xHunt است.

گروهی از پژوهش‌گران آی‌بی‌ام که بدافزار ZeroClear را کشف کردند بیان می‌کنند که این بدافزار پاک‌کننده‌ی جدید برخی شباهت‌های سطح بالا با Shamoon دارد که یکی از بدافزارهای بسیار مخرب است و ۳۰ هزار رایانه‌ی بزرگ‌ترین تولیدکننده‌ی نفت عربستان سعودی را در سال ۲۰۱۲ هدف قرار داد و به آن‌ها آسیب رساند.

ZeroClear دقیقاً مانند بدافزار پاک‌کننده‌ی Shamoon از یک حافظه‌ی سخت به نام RawDisk by EIDos استفاده می‌کند تا رکورد اصلی راه‌اندازی سیستم (MBR) و پارتیشن‌های حافظه‌ی رایانه‌های مورد هدف را که سیستم عامل ویندوز را اجرا می‌کنند، بازنویسی کند.

اگرچه درایور EIdoS امضا نشده است، این بدافزار همچنان می‌تواند از طریق بارگذاری یک درایور VirtualBox اوراکل امضا‌شده و آسیب‌پذیر، آن را اجرا کند و از آن برای دور زدن سازوکار بررسی امضا بهره‌برداری کند و درایور EIdoS امضانشده را بارگذاری کند.

پژوهش‌گران بیان کردند که ZeroClear برای دسترسی به هسته‌ی دستگاه از یک درایور آسیب‌پذیر و امضاشده‌ی VBoxDrv و اسکریپت‌های پاورشل برای دور زدن کنترل‌های ویندوز استفاده می‌کند. مهاجمان برای استقرار بدافزار ZeroClear در رایانه‌های یک سازمان، ابتدا تلاش می‌کنند تا با جستجوی کورکورانه گذرواژه‌های حساب‌های شبکه را به دست آورند و سپس شل‌های وب ASPX مانند China Chopper و Tunna را با بهره‌برداری از یک آسیب‌پذیری Sharepoint نصب می‌کنند.

پژوهش‌گران بیان کردند که ZeroClear در بسیاری از دستگاه‌های موجود در شبکه‌ی آسیب‌دیده منتشر شده است و یک حمله‌ی مخرب می‌تواند هزاران دستگاه را تحت تأثیر قرار دهد و موجب ایجاد یک خرابی شود که ممکن است بازیابی کامل آن ماه‌ها طول بکشد.همان عاملان تهدید تلاش کردند تا نرم‌افزار دسترسی از راه دور قانونی TeaamViewer را نصب کنند و از یک نسخه‌ی مبهم‌سازی‌شده‌ی ابزار سرقت گواهی‌نامه‌ی Mimikatz برای سرقت گواهی‌نامه‌های شبکه از سرورهای آسیب‌دیده استفاده کنند. اگرچه پژوهش‌گران نام هیچ یک از سازمان‌هایی را که هدف قرار گرفته‌اند، افشا نکردند، اما تأیید کردند که دو نسخه از ZeroClear مشاهده شده است که یکی در هر دو معماری ۳۲ بیتی و ۶۴ بیتی ویندوز و دیگری تنها در معماری ۶۴ بیتی کار می‌کند.

به‌گفته‌ی پژوهش‌گران، حملات ZeroClear فرصت‌طلبانه نیست و به نظر می‌رسد بلکه عملیات هدفمند علیه بخش‌ها و سازمان‌های خاص است. X-Force IRIS در سال گذشته شاهد افزایش چشم‌گیر حملات مخرب بوده و در شش ماه گذشته، افزایش ۲۰۰ درصدی میزان حملات مخرب را ثبت کرده است. با توجه به منطقه‌ی جغرافیایی آسیب‌دیده توسط بدافزار ZeroClear، این اولین بار نیست که خاورمیانه شاهد حملات مخربی است که بخش انرژی آن را هدف قرار می‌دهند.

منبع

پست‌های مشابه

Leave a Comment