Meteor Wiper Malware

Meteor Wiper Malware Beskrivelse

Meteor Wiper, som navnet antyder, er en visker -malware designet til at forårsage irreversibel skade på inficerede computere. Sådanne trusler indsættes, når trusselsaktøren ikke er ude efter monetære gevinster. I stedet er målet enten at forårsage så meget afbrydelse af det specifikke måls operationer eller bruge viskerangrebet som en distraktion for at skjule hackernes sande mål. Meteor wiper er en tidligere ukendt malware, der blev indsat som en del af cyberangrebet mod Irans jernbanesystem.

Opdagelsen af Meteor Wiper

Indledende analyse af angrebet fik ikke spor af viskertruslen. Trusselsaktøren bag hacket er indtil videre ikke fastlagt. Alligevel lykkedes det cyberkriminelle at overtræde Irans transportministerium med succes og forstyrre landets togsystem. Angriberne lukkede agenturets officielle websted og meddelte deres præstation ved at vise en besked om cyberangrebet på jernbanens opslagstavler. Flere af de viste meddelelser opfordrede også passagerer, der ønsker at få flere oplysninger om hændelsen, til at ringe til et telefonnummer, der var fast besluttet på at tilhøre Irans øverste leder Ali Khamenei. I baggrunden resulterede hacket også i, at flere Windows -enheder blev låst bag en låseskærm, der forhindrede adgang til systemerne.

Den første, der opdagede, at yderligere trusler som f.eks. Meteor Wiper også blev indsat, var det iranske cybersikkerhedsfirma Aman Pardaz. En rapport fra SentinelOne og forskeren Juan Andres Guerrero-Saade afslørede dybere oplysninger om truslen og flere nye komponenter, der blev afdækket.

Angrebskæden

Inden Meteor Wiper blev implementeret, brugte trusselsaktøren flere eksekverbare filer og batchfiler, der blev leveret til hver kompromitteret enhed og havde til opgave at forberede det lokale miljø til de sidste nyttelast. Først blev systemet scannet efter specifikke anti-malware-produkter, der, hvis det blev opdaget, blev afsluttet efterfølgende. Derefter afbrydes den målrettede enhed fra netværket. For at lette problemfri drift af malware -trusler tilføjes ekskluderinger til Windows Defender. I løbet af det næste trin udtrækkes flere malware nyttelast. Efter at have udført flere ekstra opgaver, såsom at rydde Windows -hændelseslogfiler og skylle filsystemets cache til disken, lanceres de sidste nyttelast. Disse inkluderer Meteor -viskeren leveret som en fil med navnet 'env.exe' eller 'msapp.exe', en MBR (Master Boot Record) locker og en skærmskab.