ZeroCleare: un malware de borrado de datos de APT34 y xHunt

diciembre 07, 2019 , 0 Comments

ZeroCleare

Los investigadores de seguridad de IBM dieron a conocer hace algunos días que detectaron una nueva familia de malware llamada “ZeroCleare”, creado por un grupo de hackers iraníes APT34 junto con xHunt, este malware está dirigido contra los sectores industrial y energético en el Medio Oriente. Los investigadores no revelan los nombres de las compañías víctimas, pero dedicaron un análisis del malware a un informe detallado de 28 páginas.

ZeroCleare afecta solamente a Windows ya que como su nombre lo describe la ruta de la base de datos del programa (PDB) de su archivo binario se usa para ejecutar un ataque destructivo que sobrescribe el registro de arranque maestro (MBR) y las particiones en máquinas Windows comprometidas.

ZeroCleare se cataloga como una malware con un comportamiento algo similar al de “Shamoon” (un malware del cual se habló mucho debido a que se utilizó para ataques a las compañías petroleras que datan de 2012) Aunque Shamoon y ZeroCleare tienen capacidades y comportamientos similares, los investigadores dicen que los dos son piezas de malware separadas y distintas.

Al igual que el malware Shamoon, ZeroCleare también utiliza un controlador de disco duro legítimo llamado “RawDisk by ElDos”, para sobrescribir el registro de arranque maestro (MBR) y las particiones de disco de las computadoras específicas que ejecutan Windows.

Aunque el controlador ElDos no está firmado, el malware logra ejecutarlo cargando un controlador de VirtualBox vulnerable pero no firmado, explotándolo para omitir el mecanismo de verificación de firma y cargar el controlador ElDos sin firmar.

Este malware se lanza a través de ataques de fuerza bruta para obtener acceso a sistemas de red débilmente seguros. Una vez que los atacantes infectan el dispositivo objetivo, propagan el malware a través de la red de la compañía como el último paso de la infección.

“El limpiador ZeroCleare es parte de la etapa final del ataque general. Está diseñado para desplegar dos formas diferentes, adaptadas a sistemas de 32 bits y 64 bits.

El flujo general de eventos en máquinas de 64 bits incluye el uso de un controlador firmado vulnerable y luego explotarlo en el dispositivo de destino para permitir que ZeroCleare omita la capa de abstracción de hardware de Windows y evitar algunas salvaguardas del sistema operativo que evitan que los controladores no firmados se ejecuten en 64- máquinas de bits “, se lee en el informe de IBM.

El primer controlador de esta cadena se llama soy.exe y es una versión modificada del cargador de controladores Turla. 

si-zerocleareflow-chart

Ese controlador se utiliza para cargar una versión vulnerable del controlador VirtualBox, que los atacantes explotan para cargar el controlador EldoS RawDisk. RawDisk es una utilidad legítima utilizada para interactuar con archivos y particiones, y también fue utilizada por los atacantes de Shamoon para acceder al MBR.

Para obtener acceso al núcleo del dispositivo, ZeroCleare utiliza un controlador intencionalmente vulnerable y scripts maliciosos de PowerShell/Batch para evitar los controles de Windows. Al agregar estas tácticas, ZeroCleare se extendió a numerosos dispositivos en la red afectada, sembrando las semillas de un ataque destructivo que podría afectar a miles de dispositivos y causar interrupciones que podrían tomar meses para recuperarse por completo, ”

Aunque muchas de las campañas de APT que los investigadores exponen se centran en el ciberespionaje, algunos de los mismos grupos también realizan operaciones destructivas. Históricamente, muchas de estas operaciones han tenido lugar en el Medio Oriente y se han centrado en compañías de energía e instalaciones de producción, que son activos nacionales vitales.

Aunque los investigadores no han planteado en  un 100% los nombres de alguna organización a la que se le atribuya este malware, en una primera instancia comentaban que APT33 participó en la creación de ZeroCleare.

Y despues posteriormente IBM afirmó que APT33 y APT34 crearon ZeroCleare, pero poco después de la publicación del documento se actualizó, la atribución cambió a xHunt y APT34, y los investigadores admitieron que no tenían un cien por ciento de certeza.

Según los investigadores, los ataques ZeroCleare no son oportunistas y parecen ser operaciones dirigidas contra sectores y organizaciones específicos.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.