IBM предупреждает, что спонсируемые государством, иранские хакеры запустили новую разновидность вредоносного вредоносного ПО. Она была нацелена на “промышленные и энергетические сектора” на Ближнем Востоке. Конкретных компаний не выявлено, но в характере атаки нет ничего удивительного. Для Ирана продолжающийся конфликт с США и его союзниками, сделал эти секторы мишенью. IBM приписывает последние “разрушительные атаки” гиперактивному APT34 Ирана. Также под подозрение попадает по крайней мере еще одна группа, которая также вероятно базируется в Иране.

APT34 попал в заголовки новостей несколько раз в этом году, в том числе из-за фишинг-атаки с использованием LinkedIn. Секторальные цели и использование вредоносных программ указывают с большей вероятностью на APT33. Эта группа, стоящая за эксплойтом Microsoft Outlook в июле, вызвала предупреждение правительства США и запустила собственный VPN, чтобы скрыть “агрессивные атаки” на цели в США и на Ближнем Востоке в нефтегазовом секторе. APT33 также стоял за печально известной атакой Shamoon 2012 года на Saudi Aramco, которая стерла данные на большинстве компьютеров компании.

Команда IBM X-Force окрестила новое вредоносное ПО “ZeroCleare”. Согласно отчету команды:
“Мы не были удивлены, обнаружив, что ZeroCleare имеет некоторое сходство с вредоносным ПО Shamoon. ZeroCleare стремится перезаписать основную загрузочную запись “MBR” и разделы диска на компьютерах под управлением Windows”.

Как и в случае с Shamoon, используется EldoS RawDisk для атаки на файлы и диски на целевых машинах.

Источник: https://leisurecentre.ru/xakery-vyzyvayut-sboi-v-rabote-windows-s-pomoshhyu-novoj-vredonosnoj-programmy/