伊朗火车系统遭到新型Wiper恶意软件的网络攻击分析

新的刮水器恶意软件是伊朗列车系统最近的网络攻击

本月早些时候,一场网络攻击使伊朗交通部及其国家铁路系统的网站脱轨,导致火车服务大范围中断,这是一种前所未见的可重复使用的擦拭器恶意软件“Meteor”的结果。

据伊朗反病毒公司Amn Pardaz和 SentinelOne 的研究人员称,该活动被称为“ MeteorExpress ”,与任何先前确定的威胁组织或其他攻击无关,这使其成为涉及部署该恶意软件的第一起事件。Meteor 被认为在过去三年中一直在工作。

SentinelOne 的首席威胁研究员 Juan Andres Guerrero-Saade 指出:“尽管缺乏具体的妥协指标,但我们还是能够恢复大部分攻击组件。” “在这个关于停止的火车和狡猾的巨魔的古怪故事背后,我们发现了一个不熟悉的攻击者的指纹,”并补充说,这次攻势“旨在削弱受害者的系统,无法通过域管理或恢复卷影副本进行简单的补救。”

7 月 9 日,伊朗火车系统在一次重大袭击后陷入瘫痪,黑客破坏了电子显示屏,指示乘客将投诉发送至伊朗最高领袖阿亚图拉·阿里·哈梅内伊办公室的电话号码。据报道,这起事件在车站造成了“前所未有的混乱”,数百列火车延误或取消。

现在,根据 SentinelOne 的说法,感染链开始于滥用组策略部署一个工具包,该工具包由编排不同组件的批处理文件组成,这些文件从多个 RAR 档案中提取并链接在一起以促进文件系统的加密,主引导记录 ( MBR )损坏,以及锁定相关系统。

新的刮水器恶意软件是伊朗列车系统最近的网络攻击

发现在攻击期间丢弃的其他批处理脚本文件负责断开受感染设备与网络的连接,并为所有组件创建 Windows Defender 排除项,这种策略在威胁行为者中越来越 普遍,以从安装的反恶意软件解决方案中隐藏其恶意活动在机器上。

就 Meteor 而言,它是一个外部可配置的擦除器,具有广泛的功能集,包括删除卷影副本的能力以及“大量附加功能”,例如更改用户密码、终止任意进程、禁用恢复模式和执行恶意命令。

擦除器被描述为“自定义代码的奇异混合物”,它将开源组件与“在实现其目标时充斥着健全性检查、错误检查和冗余”的古老软件相结合,表明方法支离破碎且缺乏协调涉及开发的不同团队。

“网络空间的冲突中充斥着越来越厚颜无耻的威胁行为者。在这个史诗巨魔的艺术性背后隐藏着一个令人不安的现实,一个以前未知的威胁行为者愿意利用雨刷恶意软件攻击公共铁路系统,”格雷罗-萨德说。“攻击者是一个中级玩家,其不同的操作组件从笨拙和简陋到精巧而发达。”

“我们应该记住,攻击者已经熟悉他们目标的一般设置、域控制器的功能以及目标选择的备份系统 (Veeam)。这意味着一个完全在雷达下飞行的侦察阶段和我们尚未发现的大量间谍工具。”

 

伊朗火车系统遭到新型Wiper恶意软件的网络攻击分析

极牛网精选文章《伊朗火车系统遭到新型Wiper恶意软件的网络攻击分析》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/15664.html

发表评论

登录后才能评论