ZeroCleare：针对能源行业的新伊朗数据雨刷恶意软件

网络安全研究人员已经发现了一个新的，以前未发现的破坏性数据，清除了被国家资助的黑客在中东使用的目标，以能源和工业组织为目标的恶意软件。

配音零清除, the data wiper malware has been linked to not one but two Iranian state-sponsored hacking groups—APT34，也称为ITG13和Oilrig，以及Hive0081，也称为xHunt。

发现ZeroCleare恶意软件的IBM研究人员团队表示，新的雨刮器恶意软件与臭名昭著的Shamoon有一些高度相似之处。Shamoon是最具破坏性的恶意软件家族之一，2012年在沙特阿拉伯最大的石油生产商损坏了30000台计算机。

与Shamoon wiper恶意软件一样，ZeroCleare也使用名为“RawDisk by ElDos”的合法硬盘驱动程序来覆盖运行Windows操作系统的目标计算机的主引导记录（MBR）和磁盘分区。

虽然EldoS驱动程序没有签名，但恶意软件仍然通过加载易受攻击但已签名的Oracle VirtualBox驱动程序来运行它，利用它绕过签名检查机制并加载未签名的EldoS驱动程序。

研究人员说：“为了访问该设备的核心，ZeroCleare使用了一个故意易受攻击的（但有签名的VBoxDrv）驱动程序和恶意的PowerShell/批处理脚本来绕过Windows控件”。

为了在一个组织中尽可能多的计算机上部署ZeroClear恶意软件，攻击者首先试图通过利用SharePoint漏洞暴力破解网络帐户密码，然后安装ASPX web Shell，如China Chopper和Tunna。

研究人员说：“将这些靠陆地为生的策略添加到该计划中，ZeroCleare被传播到受影响网络上的许多设备上，播下了破坏性攻击的种子，这种攻击可能会影响数千台设备，并造成中断，可能需要数月时间才能完全恢复”。

同样的威胁参与者还试图安装名为TeamViewer的合法远程访问软件，并使用模糊版本的Mimikatz凭证窃取工具窃取受损服务器的更多网络凭证。

尽管研究人员尚未透露任何目标组织的名称，但他们确实确认，在野外已经看到了两个版本的Zerocleare，每个Windows架构（32位和64位）有一个版本，但只有64位可以工作。

据研究人员称，ZeroCleare攻击并非机会主义，似乎是针对特定行业和组织的针对性行动。

研究人员说：“X-Force IRIS在过去一年中一直在跟踪破坏性攻击的显著增加，在过去六个月里，破坏性攻击的数量大幅增加了200%”。

“看看受到ZeroCleare恶意软件攻击的地理区域，这不是中东第一次看到针对其能源部门的破坏性攻击。”