Meteor Wiper 恶意软件攻击伊朗铁路

近年来，我们看到网络犯罪分子的运作方式发生了巨大变化。他们没有使用破坏性恶意软件，而是专注于开发复杂的勒索计划或高质量的恶意软件，以从受害者那里窃取敏感数据。虽然这些操作非常有利可图，但仍有一些威胁行为者依赖经典的破坏性恶意软件。适合这一类别的流行植入物之一是所谓的“雨刷”。它们的行为方式类似于勒索软件，但有一个主要区别——它们删除文件而不是加密文件。当然，犯罪分子不会提供恢复选项，也不会索要钱财——他们的目标是尽可能具有破坏性。

Meteor Wiper 恶意软件进入现场

7 月，网络安全专家确定了一种符合上述描述的新植入物——Meteor Wiper 恶意软件。它被用于对伊朗铁路局的大规模攻击。尽管“文件删除”听起来像是一项简单的任务，但您可以放心，像 Meteor Wiper 恶意软件这样的威胁根本不是基本的。他们通常执行一长串任务，以确保他们的执行完美无缺，并且受害者没有时间做出反应。

就 Meteor Wiper 恶意软件而言，攻击似乎是出于政治动机——然而，攻击者的政治效忠或起源尚不清楚。在袭击期间，铁路的留言板收到了大量信息，告诉乘客拨打特定电话了解更多详情。然而，这部电话不属于铁路——拨打它可以让乘客与最高领袖阿里·哈梅内伊的办公室取得联系。

Meteor Wiper Malware 的攻击涉及多个阶段，以确保完美执行。最初的感染媒介尚不清楚。一旦运行，wiper 就会使用几个组件来执行攻击：

• Setup.bat – 篡改 Windows 组策略，以便将恶意可执行文件复制到同一网络上的其他系统。它还会检查是否存在防病毒软件，禁用 Windows Defender，并暂时断开计算机与 Internet 的连接。它还会清除 Windows 事件日志并继续执行三个文件。
• Env.exe 或 msapp.exe – 这两个文件服务于相同的系统，但它们的名称不同。这些承载擦除器组件，用于删除文件。
• Nti.exe – 一个 MBR 锁，它会覆盖 MBR（主引导记录）以防止 PC 启动。
• Mssetup.exe – 一个屏幕锁，向受害者显示图像和消息。

通常，像 Meteor Wiper 恶意软件执行的破坏性攻击旨在传递消息。然而，威胁行为者不会这样做——他们没有要求，他们没有说出他们的动机，他们让受害者蒙在鼓里。我们还没有看到 Meteor Wiper 恶意软件是否会攻击另一家机构或公司。