ZeroCleare, nuevo malware iraní dirigido al sector energético

Investigadores de seguridad cibernética descubrieron un nuevo malware destructivo de borrado de datos previamente no descubierto que está siendo utilizado por hackers patrocinados por el estado en la naturaleza, para apuntar a organizaciones energéticas e industriales en el Medio Oriente.

Apodado como ZeroCleare, el malware del limpiador de datos se ha vinculado a los grupos de piratería patrocinados por el estado iraní, APT34, también conocido como ITG13 y Oilrig, además de Hive0081, también conocido como xHunt.

Un equipo de investigadores de IBM que descubrió el malware ZeroCleare, afirma que el nuevo malware limpiador comparte algunas similitudes de alto nivel con Shamoon, una de las familias de malware más destructivas conocidas por dañar 30,000 computadoras en el mayor productor de petróleo de Arabia Saudita en 2012.

Al igual que el malware Shamoon, ZeroCleare también utiliza un controlador de disco duro legítimo llamado «RawDisk by ElDos», para sobrescribir el registro de arranque maestro (MBR) y las particiones de disco de las computadoras específicas que ejecutan el sistema operativo Windows.

Aunque el controlador ElDos no está firmado, el malware logra ejecutarlo cargando un controlador VirtualBox de Oracle vulnerable pero no firmado, explotándolo para omitir el mecanismo de verificación de firma y cargar el controlador ElDos sin firmar.

«Para obtener acceso al núcleo del dispositivo, ZeroCleare utilizó un controlador intencionalmente vulnerable y scripts maliciosos PowerShell/Batch para evitar los controles de Windows», dijeron los investigadores.

Para implementar el malware ZeroCleare en la mayor cantidad de computadoras posible en una organización, los atacantes intentan por primera vez forzar contraseñas de cuentas de red y luego instalar shells web ASPX, como China Chopper y Tunna, explotando una vulnerabilidad de SharePoint.

Flujo de infección de ZeroCleare

«Al agregar estas tácticas de living-of-the-land al esquema, ZeroCleare se extendió a numerosos dispositivos en la red afectada, sembrando las semillas de un ataque destructivo que podría afectar a miles de dispositivos y causar interrupciones que podrían tomar meses para recuperarse completamente», agregaron los investigadores.

Los mismos actores de amenazas también intentaron instalar un software de acceso remoto legítimo llamado TeamViewer, y utilizaron una versión ofuscada de la herramienta de robo de credenciales Mimikatz para robar más credenciales de red de los servidores comprometidos.

Aunque los investigadores no revelaron los nombres de ninguna organización objetivo, confirmaron que existen dos versiones de ZeroCleare que se han visto en la naturaleza, una para cada arquitectura de Windows, pero solo las de 64 bits funcionan.

Según los investigadores, los ataques ZeroCleare no son oportunistas, y parecen ser operaciones dirigidas contra sectores y organizaciones específicos.

«X-Force IRIS ha estado siguiendo un marcado aumento en los ataques destructivos en el último año, después de haber registrado un increíble aumento del 200 por ciento en la cantidad de ataques destructivos en los últimos seis meses. En cuanto a la región geográfica afectada por el malware ZeroCleare, no es la primera vez que Oriente Medio ha visto ataques destructivos dirigidos a su sector energético», dijeron los investigadores.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *