Meteor Wiper Malware

Meteor Wiper, som namnet antyder, är en torkarprogram som är utformad för att orsaka irreversibel skada på infekterade datorer. Sådana hot distribueras när hotaktören inte är ute efter några monetära vinster. Istället är målet att antingen orsaka lika mycket störningar i det specifika målets verksamhet eller använda torkarattacken som en distraktion för att dölja hackarens sanna mål. Meteor wiper är en tidigare okänd skadlig kod som användes som en del av cyberattacken mot Irans järnvägssystem.

Upptäckten av Meteor Wiper

Den första analysen av attacken fick inte spår av torkarhotet. Hotaktören bakom hacket har hittills inte fastställts. Ändå lyckades cyberkriminella framgångsrikt bryta mot Irans transportministerium och störa landets tågsystem. Angriparna stängde av byråns officiella webbplats och meddelade sin prestation genom att visa ett meddelande om cyberattacken på järnvägens anslagstavlor. Flera av de meddelanden som uppmanades uppmanade också passagerare som vill få mer information om händelsen att ringa ett telefonnummer, som var fast beslutet att tillhöra Irans högsta ledare Ali Khamenei. I bakgrunden resulterade hacket också i att flera Windows -enheter låstes bakom en låsskärm som hindrade åtkomst till systemen.

Den första som upptäckte att ytterligare hot som Meteor Wiper också var utplacerade var det iranska cybersäkerhetsföretaget Aman Pardaz. En rapport från SentinelOne och forskaren Juan Andres Guerrero-Saade avslöjade djupare information om hotet och flera nya komponenter som avslöjades.

Attackkedjan

Innan Meteor Wiper distribuerades använde hotaktören flera körbara filer och batchfiler som levererades till varje komprometterad enhet och fick i uppdrag att förbereda den lokala miljön för de slutliga nyttolasterna. Först skannades systemet efter specifika produkter mot skadlig kod som, om de upptäcktes, avslutades senare. Sedan kopplas den riktade enheten från nätverket. För att underlätta en smidig drift av hot mot skadlig kod läggs undantag till i Windows Defender. Under nästa steg extraheras flera nyttolaster för skadlig kod. Efter att ha utfört flera ytterligare uppgifter, såsom att rensa Windows -händelseloggar och spola filsystemets cache till disken, startas de slutliga nyttolasterna. Dessa inkluderar Meteor -torkaren som levereras som en fil med namnet 'env.exe' eller 'msapp.exe', ett MBR -skåp (Master Boot Record) och ett skärmskåp.