Célzottan támad a Zerocleare
A közel-keleti ipari és energia cégeket támadja a Zerocleare adattörlő kártevő, melyet feltehetően állami szereplők fejlesztettek ki. A kártevő ellen megfelelő antivírus megoldással lehet védekezni, az adatokat viszont kizárólag offline tárolt adatmentésből lehet visszaállítani.
Az IBM kutatói fedezték fel és írták le a ZeroCleare nevű kártevőt, mely a jelek szerint a Közép-Keleten terjed, ott is főként ipari és energia vállalatokat támad meg. Ezek a támadások célzottak, az iráni állam megrendelésre dolgozó APT34 és Hive0081-es hackercsoportok köthetők a kártevő elkészítéséhez. A ZeroCleare célja a rombolás, miután bejut a rendszerbe, elküldi magát a többi gépekre, majd törli a master boot rekordot, és felülírja – wipeolja – a merevlemez tartalmát, vagyis visszaállíthatatlan módon törli az adatokat.
A hackerek első körben brute force támadással próbálják kitalálni a rendszer felhasználóinak nevét és bejutni a rendszerbe, majd a SharePoint egy sérülékenységét kihasználva ASPX web szolgáltatások segítségével a hálózat többi számítógépére is eljuttatják a kártevőt. Ezek után a ZeroCleare egy megváltoztatott driver töltőt, a Turla-t tölti be, ami meghívja a sérülékeny, de aláírt VirtualBox VBoxDrv driverjét. Ez pedig meghívja a tanúsítvánnyal nem rendelkező EldoS drivert, amely letölti a kártevőt.
Forrás: https://virusirto.hu