کشف یک بدافزار جدید ایرانی به نام ZeroCleare

▪️ محققان فضای مجازی از کشف یک بدافزار مخرب پاک کننده Data خبر دادند که به تازگی ظهور کرده و آن را مرتبط با هکرهای ایرانی می دانند. این بدافزار برای هدف قرار دادن سازمان های انرژی و صنعتی در خاورمیانه استفاده می شود. بدافزار پاک کننده داده ها با نام ZeroCleare به دو گروه هکر ایرانی نسبت داده شده که با عنوان های APT34 ، ITG13 ، Oilrig و Hive0081 نیز شناخته می شوند .

▪️تیمی از محققان IBM بدافزار ZeroCleare را کشف کرده و در این رابطه توضیحاتی را ارائه داده اند:
این بدافزار جدید شباهت های سطح بالایی با Shamoon دارد. بدافزار Shamoon یکی از مخرب ترین خانواده های بدافزار است که به ۳۰،۰۰۰ رایانه در بزرگترین تولید کننده نفت عربستان سعودی در سال ۲۰۱۲ آسیب رسانده است.
▪️کارکرد این بدفزار همانند شامون از یک درایور دیسک سخت به نام ‘RawDisk by ElDos’ برای بازنویسی رکورد اصلی بوت (MBR) و پارتیشن های دیسک رایانه های هدفمند که سیستم عامل ویندوز را اجرا می کنند، استفاده می کند. اگرچه درایور EldoS امضا نشده است اما با این حال این بدافزار می تواند با بارگیری یک درایور VirtualBox Oracle آسیب پذیر اما امضا شده ، از آن برای دور زدن مکانیسم بررسی امضا و بارگذاری درایور EldoS امضا نشده سوء استفاده کند.

▪️ محققین بر این عقیده هستند “بدافزار ZeroCleare برای دستیابی به هسته اصلی دستگاه، از یک درایور عمدا آسیب پذیر [VBoxDrv امضاء شده] و اسکریپت های مخرب PowerShell / Batch برای دور زدن کنترل های ویندوز استفاده می کند.”

لطفا امتیاز خود را ثبت کنید.