Специалисты IBM X-Force обнаружили ранее неизвестный зловред, используемый в целевых атаках на Ближнем Востоке. Программа, получившая название ZeroCleare, доставляется на устройство при помощи вредоносного инструмента для обхода механизма проверки подписи драйверов. Вредонос перезаписывает загрузочный сектор диска и делает дальнейшую работу компьютера невозможной. Эксперты предполагают, что за атаками стоит проправительственная иранская группировка OilRig.

Вайпер нацелен на системы под управлением Windows. Поскольку 64-разрядная версия ОС имеет встроенную защиту от установки неподписанных драйверов, злоумышленники применяют утилиту Turla Driver Loader (TDL), которая обходит этот механизм. Загрузчик доставляет на компьютер скомпрометированный драйвер VBoxDrv с легитимной цифровой подписью и инжектом для запуска шелл-кода на уровне ядра.

На заключительном этапе атаки ZeroCleare устанавливает в целевую систему легитимную утилиту EldoS RawDisk, при помощи которой стирает MBR-сектор жесткого диска. Драйвер EldoS не имеет подписи разработчика Windows и устанавливается под прикрытием TDL. Киберпреступники используют тактику living-off-the-land, применяя системные процессы Windows, а также PowerShell-сценарии, чтобы оставаться незамеченными на инфицированной машине и заражать другие устройства, подключенные к домену.

Анализ также показал некоторое сходство новой вредоносной программы с вайпером Shamoon, ранее тоже замеченным в атаках на арабские страны в Персидском заливе. Как выяснили ИБ-специалисты, IP-адреса, засветившиеся в кампании ZeroCleare, уже использовались OilRig для других нападений. Эксперты также нашли веб-консоль, схожую с утилитой TWOFACE/SEASHARPEE по способу вызова методов сборки, алгоритму шифрования и стилю именования переменных. При этом у аналитиков есть доказательства участия в атаках еще как минимум одной проиранской группы хакеров.

Предыдущий всплеск активности OilRig пришелся на лето прошлого года, когда криминальная группировка взяла на вооружение новый бэкдор QUADAGENT. Вредоносная программа доставлялась на компьютер жертвы через поддельное письмо от имени одного из правительственных агентств. Зловред создавал задачу в списке автозапуска ОС и использовал DNS-туннелирование запросов HTTP/HTTPS для связи с командным сервером.

Категории: Аналитика, Вредоносные программы