该公司的安全部门IBM X-Force发布了一份报告，称一种新型“雨刷”恶意软件与伊朗的威胁组织有关，并被用于对中东地区的公司进行破坏性攻击。该样本是在一次攻击中被发现的，IBM的一位发言人将其描述为“(中东)的一个新环境——不是在沙特阿拉伯，而是伊朗的另一个地区竞争对手。”

 

IBM X-Force研究人员的一份报告称，这款名为ZeroCleare的恶意软件“可能是伊朗政府支持的组织之间的合作”。这些攻击针对特定组织，沐鸣开户测速并使用蛮力密码攻击来获取网络资源。攻击的最初阶段是从阿姆斯特丹的IP地址发起的，该IP地址属于一个与IBM所称的“ITG13集团”(也称为“Oilrig”和APT34)相关的组织。另一个伊朗威胁集团可能在雨刷运动之前使用相同的地址访问帐户。

 

“虽然X-Force虹膜不能属性的活动在破坏阶段观察到ZeroCleare竞选,”研究人员指出,“我们评估伊朗高层相似之处与其他威胁演员,包括依赖ASPX web贝壳和妥协VPN账户,ITG13活动的联系,和攻击伊朗在该地区的目标看齐,使其可能的这种攻击是由一个或多个执行组伊朗威胁。”

 

除了对网络账户进行暴力攻击外，攻击者还利用SharePoint的漏洞在SharePoint服务器上投放web shell。其中包括China Chopper、Tunna和另一个名为“extensions”的基于活动服务器页面的webshell。IBM的研究人员报告称，aspx与ITG13的TWOFACE/SEASHARPEE有相似之处。他们还试图安装TeamViewer远程访问软件，并使用了修改版的Mimikatz证书窃取工具(隐藏其意图)，从受影响的服务器上窃取更多的网络证书。从那里，他们通过网络传播ZeroCleare恶意软件。

 

隐藏的司机

 

与Shamoon雨刷一样，ZeroCleare使用来自EldoS的合法RawDisk软件驱动程序直接访问磁盘驱动器并写入数据。不过，沐鸣开户测速由于EldoS驱动程序没有签名，ZeroCleare使用了一个来自Oracle的VirtualBox虚拟机软件版本的脆弱但有签名的驱动程序来绕过驱动程序的签名检查——允许它攻击64位版本的Windows。VBoxDrv驱动程序通过了Microsoft的驱动程序签名强制，由一个中间的execute加载——在IBM X-Force检测到的情况中，该文件被命名为soy.exe。加载脆弱的VirtualBox驱动程序后，恶意软件利用驱动程序中的一个bug来加载未签名的EldoS驱动程序。在32位的Windows系统上，缺乏驱动程序签名的强制执行，恶意软件可以免除这个工作，直接运行EldoS驱动程序。

 

恶意软件的有效负载称为ClientUpdate.exe。它使用EldoS驱动程序覆盖受感染机器的主引导记录和磁盘分区。

 

袭击的受害者是伊朗在波斯湾视为竞争对手的国家的能源和工业部门。这并不是唯一一个正在进行的与伊朗有关的竞选活动——有传闻称，伊朗APT33对美国和其他国家的能源公司发起了其他攻击，还有另一个与伊朗有关的威胁组织针对美国总统竞选活动(据路透社报道，是特朗普总统)。