IBM网络安全部门X-Force事件响应和情报服务报告说,它发现了ZeroCleare,这是一种针对中东能源行业等的新型数据擦除恶意软件。根据该团队的说法,ZeroClear似乎是由一群在伊朗支持下的黑客创建的。
到目前为止,还没有发现使用零清除进行攻击的证据。因此,Xforce Iris指出了Zero Clear是最近开发的恶意代码的可能性。 ZeroClear的目标似乎是在中东能源行业中,并且通过恶意代码分析,ZeroClear似乎与APT-34相关,APT-34是一群受到伊朗支持的黑客。据说Zero Zero与名为Shamoon的恶意软件具有高度相似性,该恶意软件仅在沙特阿拉伯就于2012年摧毁了针对石油和天然气公司的30,000多台计算机。
像Shamoon一样,“零清除”将覆盖并攻击配备Windows的PC的主引导记录MBR和磁盘分区。攻击的目标是硬盘驱动器(ElDos的RawDisk)。根据安全团队的说法,一群受到国家支持的黑客经常滥用提供合法工具的供应商未采用的方法。
零清除打破了一种攻击,在这种攻击中,首先使用暴力破解了网络帐户密码来访问目标设备,然后像China Chopper一样,对未通过在目标设备上安装Web Shell进行签名的原始磁盘进行了签名,但是容易受到攻击使用Oracle VirtualBox驱动程序来防止签名验证机制,并运行未签名的原始磁盘驱动程序。这样,零清除会传播到连接了密码已损坏的网络的计算机上,并可能影响数千台计算机。
相同的攻击者还试图安装TeamViewer,这是一种合法的远程访问软件。作为跳板,它使用称为凭据盗窃工具(Mimikatz)的软件,并从受感染的服务器中窃取更多的网络凭据。安全团队认为,“零清除”的目标是特定部门或组织。但是,没有披露目标组织的名称。相关信息可以在这里找到。