에너지 업계를 노리는 이란의 새로운 데이터 와이퍼 악성코드인 ZeroCleare 발견

ZeroCleare: New Iranian Data Wiper Malware Targeting Energy Sector

사이버 보안 연구원들이 국가의 지원을 받는 해커가 중동의 에너지 및 산업 조직을 노린 실제 공격에 사용한 새로운 파괴적인 데이터 와이퍼 악성 코드를 발견했습니다.

ZeroClare라 명명된 이 데이터 와이핑 악성코드는 국가 지원을 받는 이란의 해킹 그룹 두 개인 APT34(ITG13, Oilrig로도 알려짐)와 Hive0081(xHunt로도 알려짐)과 연관이 있는 것으로 나타났습니다.

ZeroCleare 악성 코드를 발견한 IBM의 한 연구원 팀은 이 악성코드가 악명 높은 Shamoon과 상당한 부분이 유사하다고 밝혔습니다. Shamoon은 지난 2012년 사우디아라비아의 최대 규모 오일 생산 업체의 컴퓨터 30,000대에 피해를 입힌 것으로 유명한 가장 파괴적인 악성코드 패밀리 중 하나입니다.

Shamoon 와이퍼 악성코드와 같이 ZecoCleare 또한 Windows OS를 사용하는 타깃 컴퓨터의 MBR 및 디스크 파티션을 덮어쓰기 하기 위해 'RawDisk by ElDos'라는 정식 하드 디스크 드라이버를 사용합니다.

이 악성코드는 서명되지 않은 EldoS 드라이버를 실행하기 위해 취약하지만 서명된 오라클의 VirtualBox 드라이버를 로드하여 시그니처 확인 메커니즘을 우회합니다.

“ZeroCleare는 기기 코어에 접근할 수 있는 권한을 얻기 위해 의도적으로 취약하지만 서명된 VirtualBox 드라이버와 악성 PowerShell/Batch 스크립트를 사용하여 Windows의 보안을 우회했습니다.”

 

<이미지 출처: https://www.ibm.com/downloads/cas/OAJ4VZNJ>

공격자는 Zerocleare 악성코드를 가능한 많은 조직 내 컴퓨터에 배포하기 위해서 네트워크 계정의 패스워드를 알아내기 위한 브루트포싱 공격을 시도한 후 SharePoint 취약점을 악용하여 China Chopper, Tunna와 같은 ASPX 웹 쉘을 설치합니다. 

“ZeroCleare는 living-off-the-land 전략을 추가함으로써 취약한 네트워크 상의 수많은 기기로 전파되어 파괴적인 공격을 위한 씨앗을 뿌렸습니다. 이 공격은 기기 수 천대에 영향을 미치며 완전히 복구하는데 수개월이 소요될 수 있는 운영 중단 사태를 일으킬 수 있었습니다.” 

또한 공격자들은 정식 원격 접속 소프트웨어인 팀뷰어를 설치하려 시도했으며 크리덴셜 스틸링 툴인 Mimikatz의 난독화된 버전을 통해 해킹된 서버의 네트워크 크리덴셜을 더 많이 훔치려 시도했습니다. 

연구원들은 공격을 받은 조직을 공개하지는 않았습니다. 

연구원들에 따르면, 실제 공격에서 Zerocleare의 버전 두 가지가 발견되었습니다. Windows 32비트, 64비트용 버전이 발견되었으나 64비트 버전만 작동했습니다. 

또한 ZeroCleare 공격에 대해 특정 분야 및 조직을 노리는 타깃형 작전으로 보인다고 밝혔습니다.

알약에서는 해당 악성코드에 대해 Trojan.Agent.Casdet / Trojan.Agent.Tiggre / Misc.Riskware.442368 로 탐지중입니다.

출처 :

https://thehackernews.com/2019/12/zerocleare-data-wiper-malware.html

https://securityintelligence.com/posts/new-destructive-wiper-zerocleare-targets-energy-sector-in-the-middle-east/

https://www.ibm.com/downloads/cas/OAJ4VZNJ