ZeroCleare
#マルウェア
分類・用途
Windowsを対象にした破壊型ワイパーマルウェア
RawDiskドライバを悪用してディスク構造やファイルシステムを破壊する
別名
不明
利用する攻撃グループ
OilRig
VOID MANTICORE
2019年の中東エネルギー企業への攻撃では、Iran-nexusの複数アクターによる関与が報告されている: https://securityintelligence.com/posts/new-destructive-wiper-zerocleare-targets-energy-sector-in-the-middle-east/
発見時期
2019年に中東のエネルギー関連組織を標的とした攻撃で確認された
2022年7月にはアルバニア政府を標的とした破壊活動に関連するZEROCLEAR亜種が確認された: https://cloud.google.com/blog/topics/threat-intelligence/likely-iranian-threat-actor-conducts-politically-motivated-disruptive-activity-against/
プログラム言語
不明
機能・特徴
32ビット版と64ビット版の亜種が報告されている
RawDiskドライバを使用してディスクへ直接アクセスし、MBR、パーティション、ファイルシステムを破壊する
64ビット環境では脆弱な署名済みVBoxDrvドライバを利用し、WindowsのDriver Signature Enforcementを迂回して未署名のRawDiskドライバを読み込む
コマンドライン引数により、ドライバのインストール、ドライバのアンインストール、指定ドライブのワイプを実行できる亜種が確認されている
GetSystemDirectoryW APIを呼び出してシステムディレクトリを特定する機能が報告されている
IOCTL_DISK_GET_DRIVE_GEOMETRY_EX、IOCTL_DISK_GET_DRIVE_GEOMETRY、IOCTL_DISK_GET_LENGTH_INFOを使ってディスクサイズを計算する機能が報告されている
DUSTMANはZeroCleareの新しい亜種と説明されている