IBM X-Force, la unidad de seguridad de la empresa, ha publicado un informe sobre una nueva forma de malware «limpiador» conectado a grupos de amenazas en Irán y utilizado en un ataque destructivo contra empresas en Oriente Medio. La muestra se descubrió en respuesta a un ataque a lo que un portavoz de IBM describió como «un nuevo entorno en el [Middle East]—no en Arabia Saudita, sino en otro rival regional de Irán».
Apodado ZeroClare, el malware es «una probable colaboración entre grupos patrocinados por el estado iraní», según un informe de los investigadores de IBM X-Force. Los ataques estaban dirigidos contra organizaciones específicas y utilizaron ataques de contraseña de fuerza bruta para obtener acceso a los recursos de la red. La fase inicial de los ataques se lanzó desde las direcciones IP de Amsterdam propiedad de un grupo vinculado a lo que IBM denomina «Grupo ITG13», también conocido como «Oilrig» y APT34. Otro grupo de amenazas iraní puede haber usado las mismas direcciones para acceder a las cuentas antes de la campaña de limpieza.
«Si bien X-Force IRIS no puede atribuir la actividad observada durante la fase destructiva de la campaña ZeroCleare», señalaron los investigadores, «evaluamos las similitudes de alto nivel con otros actores de amenazas iraníes, incluida la dependencia de shells web ASPX y cuentas VPN comprometidas. , el vínculo con la actividad de ITG13 y el ataque alineado con los objetivos iraníes en la región hacen que sea probable que este ataque haya sido ejecutado por uno o más grupos de amenazas iraníes».
Además de los ataques de fuerza bruta en las cuentas de red, los atacantes aprovecharon una vulnerabilidad de SharePoint para colocar shells web en un servidor de SharePoint. Estos incluían a China Chopper, Tunna y otro webshell basado en Active Server Pages llamado «extensions.aspx», que «compartía similitudes con la herramienta ITG13 conocida como TWOFACE/SEASHARPEE», informaron los investigadores de IBM. También intentaron instalar el software de acceso remoto TeamViewer y usaron una versión modificada de la herramienta de robo de credenciales Mimikatz, ofuscada para ocultar su intención, para robar más credenciales de red de los servidores comprometidos. A partir de ahí, se trasladaron a través de la red para propagar el malware ZeroClare.
Ocultar al conductor
ZeroClare, como el limpiador Shamoon, utiliza el controlador de software RawDisk legítimo de EldoS para obtener acceso directo a las unidades de disco y escribir datos. Sin embargo, dado que el controlador de EldoS no está firmado, ZeroClare utiliza un controlador vulnerable pero firmado de una versión del software de máquina virtual VirtualBox de Oracle para omitir la verificación de firma del controlador, lo que le permite atacar las versiones de Windows de 64 bits. El controlador VBoxDrv, que supera la aplicación de la firma del controlador de Microsoft, se carga mediante un ejecutable intermediario; en los casos detectados por IBM X-Force, el archivo se denominó soy.exe. Después de cargar el controlador VirtualBox vulnerable, el malware explota un error en el controlador para cargar el controlador EldoS sin firmar. En los sistemas Windows de 32 bits, que carecen de Driver Signature Enforcement, el malware puede prescindir de la solución alternativa y ejecutar el controlador EldoS directamente.
La carga útil del malware se llama ClientUpdate.exe. Usando el controlador EldoS, sobrescribe el Master Boot Record y las particiones del disco de la máquina infectada.
Las víctimas de los ataques estaban en los sectores energético e industrial en países que Irán ve como rivales en el Golfo Pérsico. Y esta no es la única campaña en curso vinculada a Irán: ha habido informes anecdóticos de otros ataques del APT33 de Irán contra empresas de energía estadounidenses y de otras naciones, y otro grupo amenazante vinculado a Irán apuntó a una campaña presidencial de EE. a Reuters).
