MeteorWiperマルウェアがイランの鉄道を襲う
近年、サイバー犯罪者の行動方法に大きな変化が見られました。彼らは、破壊的なマルウェアを使用する代わりに、被害者から機密データを盗む複雑な恐喝スキームや高品質のマルウェアの開発に焦点を合わせてきました。これらの操作は非常に有益ですが、古典的な破壊的なマルウェアに依存する脅威アクターがまだいくつかあります。このカテゴリーに適合する人気のあるインプラントの1つは、いわゆる「ワイパー」です。これらはランサムウェアと同じように動作しますが、大きな違いが1つあります。それは、ファイルを暗号化する代わりに削除することです。当然のことながら、犯罪者は回復の選択肢を提供せず、お金を要求しません。彼らの目標は可能な限り破壊的であることです。
MeteorWiperマルウェアが登場
7月、サイバーセキュリティの専門家は、上記の説明に適合する新しいインプラントであるMeteor WiperMalwareを特定しました。イランの鉄道機関に対する大規模な攻撃に使用されました。 「ファイルの削除」は簡単な作業のように聞こえるかもしれませんが、Meteor WiperMalwareのような脅威はまったく基本的なものではないので安心できます。彼らは通常、実行が完璧に行われ、被害者が反応する時間がないことを確認するために、タスクの長いリストを実行します。
Meteor Wiper Malwareの場合、攻撃は政治的な動機によるもののようですが、攻撃者の政治的忠誠や起源はまだ明らかではありません。攻撃中、鉄道の掲示板には、乗客に詳細について特定の電話をかけるように指示するメッセージがスパム送信されました。ただし、この電話は鉄道のものではありません。電話をかけると、乗客は最高指導者のアリハメネイの事務所に連絡することになります。
Meteor Wiper Malwareの攻撃には、完璧な実行を保証するための複数の段階が含まれます。最初の感染ベクトルは明確ではありません。実行されると、ワイパーはいくつかのコンポーネントを使用して攻撃を実行します。
- Setup.bat – Windowsグループポリシーを改ざんして、悪意のある実行可能ファイルを同じネットワーク上の他のシステムにコピーできるようにします。また、ウイルス対策ソフトウェアの存在を確認し、Windows Defenderを無効にして、コンピューターをインターネットから一時的に切断します。また、Windowsイベントログを消去し、3つのファイルの実行に進みます。
- Env.exeまたはmsapp.exe–両方のファイルは同じシステムを提供しますが、名前が異なります。これらは、ファイルを削除するワイパーコンポーネントをホストします。
- Nti.exe – MBR(マスターブートレコード)を上書きしてPCが起動しないようにするMBRロッカー。
- Mssetup.exe –被害者への画像とメッセージを表示するスクリーンロッカー。
通常、Meteor Wiper Malwareが実行するような破壊的な攻撃は、メッセージを配信することを目的としています。しかし、脅威アクターはそのようなことをしません–彼らには要求がなく、彼らは彼らの動機を引用せず、そして彼らは犠牲者を暗闇に置き去りにします。 Meteor WiperMalwareが他のエージェンシーや企業を追いかけるかどうかはまだわかりません。