エネルギー産業を標的にした新たなデータ消去マルウェア「ZeroCleare」が発見される

IBMのサイバーセキュリティ部門であるX-Force Incident Response and Intelligence Services(X-Force IRIS)は2019年12月4日、中東のエネルギー産業などを標的にした新しいデータ消去マルウェア「ZeroCleare」を発見したと報告しました。X-Force IRISのセキュリティチームによると、ZeroCleareはイランによる支援を受けたハッカー集団によって作成された可能性があるとのことです。

New Destructive Wiper ZeroCleare Targets Energy Sector in the Middle East

https://securityintelligence.com/posts/new-destructive-wiper-zerocleare-targets-energy-sector-in-the-middle-east/

ZeroCleare: New Iranian Data Wiper Malware Targeting Energy Sector

https://thehackernews.com/2019/12/zerocleare-data-wiper-malware.html

X-Force IRISは中東の産業、特にエネルギー産業に対する破壊的な活動をするマルウェアについての監視を行っており、最新の分析でZeroCleareと名付けられた新しいマルウェアを発見しました。これまでにZeroCleareを用いた攻撃の証拠は発見されておらず、セキュリティチームはZeroCleareがつい最近開発されたばかりのマルウェアである可能性を指摘しています。

ZeroCleareが標的とした中東のエネルギー産業部門や攻撃者自身の行動、マルウェアの分析などから、ZeroCleareはイランの支援を受けているとみられる「APT-34」と呼ばれるハッカー集団と関連付けられているとのこと。X-Force IRISによると、ZeroCleareは石油やガス企業を標的として2012年にサウジアラビアで3万台以上のコンピューターを破壊した「Shamoon」というマルウェアと、高いレベルの類似性がみられるとのこと。

Shamoonと同様に、ZeroCleareはWindowsを搭載するコンピューターのマスターブートレコード(MBR)とディスクパーティションを上書きする攻撃を行います。攻撃では「RawDisk by ElDos」という正規のハードディスクドライバーをターゲットとしています。セキュリティチームによると、国家的支援を受けるハッカー集団は、合法的なツールをベンダーが想定しない方法で悪用するケースがよくあるそうです。

ZeroCleareは標的となるデバイスにアクセスするために、最初にネットワークアカウントのパスワードを総当たり攻撃(ブルートフォースアタック)で突破。その後、China Chopperのようなウェブシェルを対象端末にインストールすることで、署名されていないRawDiskと署名されているが脆弱なOracleのVirtualBoxドライバーを使って署名チェックメカニズムを回避し、署名されていないElDosのRawDiskドライバーを実行するとのこと。これにより、ZeroCleareはパスワードを突破したネットワークに接続しているコンピューターに拡散し、数千ものコンピューターに影響を与えたとセキュリティチームは述べています。

また、同じ攻撃者はTeamViewerという正当なリモートアクセスソフトウェアのインストールも試みています。これを足掛かりにして、資格情報盗難ツールとして知られるソフトウェアのMimikatzを使用し、侵害したサーバーからさらに多くのネットワーク資格情報を盗み出した模様。

セキュリティチームは、ZeroCleareによる攻撃は日和見的なものではなく、特定のセクターや組織を明確なターゲットに設定していると主張しています。なお、記事作成時点では標的となった組織の名前は公開されていません。