Вайпер ZeroCleare использовался в атаках на энергопредприятия на Ближнем Востоке

Исследователи безопасности из IBM X-Force Incident Response and Intelligence Services (IRIS) обнаружили новое вредоносное ПО из семейства вайперов, получившее название ZeroCleare. Вайпер был использован для осуществления разрушительной атаки, которая затронула организации в энергетическом и промышленном секторах на Ближнем Востоке.

По словам экспертов, ZeroCleare имеет некоторое сходство с вредоносным ПО Shamoon , который использовался против организаций, работающих в критически важных и экономических секторах Саудовской Аравии. ZeroCleare использовался для того, чтобы переписать главную загрузочную запись (master boot record, MBR) и разделы диска на компьютерах под управлением Windows.

Как и в случае с Shamoon, операторы нового вредоноса использовали легитимный набор инструментов EldoS RawDisk для взаимодействия с файлами, дисками и разделами. Использование EldoS RawDisk позволило операторам ZeroCleare стереть MBR и повредить разделы диска на большом количестве сетевых устройств. Для доступа к устройству злоумышленники использовали уязвимый драйвер и вредоносные PowerShell/Batch-скрипты для обхода элементов управления Windows. Подобным способом распространялся Shamoon в ходе атак на цели в Персидском заливе в 2018 году.

Как предполагают специалисты, атаки с использованием ZeroCleare являются целевыми операциями против конкретных организаций. Киберпреступная группировка ITG13, также известная как APT34 или OilRig, и еще одна иранская группировка, вероятно, сотрудничали в разрушительном этапе атаки ZeroCleare. В ходе кампании IP-адрес 193.111.152 [.] 13, связанный с недавними атаками OilRig, использовался для сканирования целевых сетей и доступа к учетным записям осенью 2018 года, тогда как другая группировка осуществляла доступ к учетным записям с данного адреса в середине 2019 года.

Преступники из ITG13 взломали пароли для доступа к нескольким сетевым учетным записям, которые использовались для установки web-оболочек China Chopper и Tunna после эксплуатации уязвимости в SharePoint. Исследователи также обнаружили дополнительную web-оболочку extension.aspx, которая имеет общие черты с инструментом ITG13, известным как TWOFACE/SEASHARPEE.