MeteorWiperマルウェア

Meteor Wiperは、その名前が示すように、感染したコンピューターに不可逆的な損害を与えるように設計されたワイパーマルウェアです。このような脅威は、脅威の攻撃者が金銭的な利益を得ていないときに展開されます。代わりに、目標は、特定のターゲットの操作にできるだけ多くの混乱を引き起こすか、ハッカーの本当の目標を隠すための気晴らしとしてワイパー攻撃を使用することです。 Meteorワイパーは、イランの鉄道システムに対するサイバー攻撃の一部として展開された、これまで知られていなかったマルウェアです。

流星ワイパーの発見

攻撃の最初の分析では、ワイパーの脅威の痕跡は検出されませんでした。ハッキングの背後にある脅威アクターはこれまでのところ決定されていません。それでも、サイバー犯罪者はなんとかイランの運輸省を首尾よく破り、国の列車システムを混乱させました。攻撃者は、機関の公式Webサイトをシャットダウンし、鉄道の掲示板にサイバー攻撃に関するメッセージを表示して、その成果を発表しました。表示されたメッセージのいくつかはまた、事件についてのより多くの情報を入手したい乗客に、イランの最高指導者アリ・ハメネイに属すると決定された電話番号に電話するように促した。バックグラウンドでは、ハッキングにより、複数のWindowsデバイスがロック画面の背後でロックされ、システムへのアクセスが禁止されていました。

Meteor Wiperなどの追加の脅威も展開されていることを最初に発見したのは、イランのサイバーセキュリティ会社であるAmanPardazでした。 SentinelOneと研究者のJuanAndres Guerrero-Saadeによるレポートは、脅威と発見されたいくつかの新しいコンポーネントに関するより深い情報を明らかにしました。

アタックチェーン

Meteor Wiperを展開する前に、攻撃者は、侵害された各デバイスに配信され、最終的なペイロードのためにローカル環境を準備するタスクを実行するいくつかの実行可能ファイルとバッチファイルを使用しました。最初に、システムは特定のマルウェア対策製品についてスキャンされ、検出された場合はその後終了しました。次に、ターゲットデバイスがネットワークから切断されます。マルウェアの脅威の円滑な運用を促進するために、WindowsDefenderに除外が追加されています。次のステップでは、いくつかのマルウェアペイロードが抽出されます。 Windowsイベントログのクリアやファイルシステムキャッシュのディスクへのフラッシュなど、いくつかの追加タスクを実行した後、最終的なペイロードが起動されます。これらには、「env.exe」または「msapp.exe」という名前のファイルとして提供されるMeteorワイパー、MBR（マスターブートレコード）ロッカー、および画面ロッカーが含まれます。