Meteor Wiper 악성코드

Meteor Wiper는 이름에서 알 수 있듯이 감염된 컴퓨터에 돌이킬 수 없는 손상을 입히도록 설계된 와이퍼 악성코드입니다. 이러한 위협은 위협 행위자가 금전적 이득을 노리지 않을 때 배포됩니다. 대신 목표는 특정 표적의 작전을 최대한 방해하거나 와이퍼 공격을 방해해 해커의 진정한 목표를 숨기는 것입니다. Meteor 와이퍼는 이란 철도 시스템에 대한 사이버 공격의 일부로 배포된 이전에 알려지지 않은 멀웨어입니다.

Meteor Wiper의 발견

공격에 대한 초기 분석에서는 와이퍼 위협의 흔적을 포착하지 못했습니다. 해킹 배후의 위협 행위자는 지금까지 확인되지 않았습니다. 그래도 사이버 범죄자들은 이란의 교통부를 성공적으로 침입하고 이란의 기차 시스템을 교란시키는 데 성공했습니다. 공격자들은 기관의 공식 웹사이트를 폐쇄하고 철도의 게시판에 사이버 공격에 대한 메시지를 표시하여 그들의 성과를 알렸습니다. 표시된 메시지 중 일부는 사건에 대해 더 많은 정보를 얻고자 하는 승객에게 이란 최고지도자 알리 하메네이의 것으로 확인된 전화번호로 전화할 것을 촉구했습니다. 백그라운드에서 해킹으로 인해 시스템 액세스를 차단하는 잠금 화면 뒤에 여러 Windows 장치가 잠겼습니다.

Meteor Wiper와 같은 추가 위협도 배치되었음을 처음 발견한 것은 이란의 사이버 보안 회사 Aman Pardaz였습니다. SentinelOne과 연구원 Juan Andres Guerrero-Saade의 보고서에 따르면 위협에 대한 심층 정보와 밝혀진 몇 가지 새로운 구성 요소가 있습니다.

공격 사슬

Meteor Wiper를 배포하기 전에 위협 행위자는 손상된 각 장치에 전달되고 최종 페이로드를 위한 로컬 환경을 준비하는 작업을 맡은 여러 실행 파일과 배치 파일을 사용했습니다. 먼저, 시스템에서 특정 맬웨어 방지 제품이 있는지 검사했으며, 탐지되면 이후에 종료되었습니다. 그런 다음 대상 장치가 네트워크에서 연결 해제됩니다. 맬웨어 위협의 원활한 작동을 촉진하기 위해 Windows Defender에 제외가 추가되었습니다. 다음 단계에서 여러 맬웨어 페이로드가 추출됩니다. Windows 이벤트 로그 지우기 및 파일 시스템 캐시를 디스크로 플러시하는 것과 같은 몇 가지 추가 작업을 수행한 후 최종 페이로드가 시작됩니다. 여기에는 'env.exe' 또는 'msapp.exe'라는 파일로 제공되는 Meteor 와이퍼, MBR(마스터 부트 레코드) 로커 및 화면 로커가 포함됩니다.