Meteor Wiper 惡意軟件攻擊伊朗鐵路

近年來，我們看到網絡犯罪分子的運作方式發生了巨大變化。他們沒有使用破壞性惡意軟件，而是專注於開發複雜的勒索計劃或高質量的惡意軟件，以從受害者那裡竊取敏感數據。雖然這些操作非常有利可圖，但仍有一些威脅行為者依賴經典的破壞性惡意軟件。適合這一類別的流行植入物之一是所謂的“雨刷”。它們的行為方式類似於勒索軟件，但有一個主要區別——它們刪除文件而不是加密文件。當然，犯罪分子不會提供恢復選項，也不會索要錢財——他們的目標是盡可能具有破壞性。

Meteor Wiper 惡意軟件進入現場

7 月，網絡安全專家確定了一種符合上述描述的新植入物——Meteor Wiper 惡意軟件。它被用於對伊朗鐵路局的大規模攻擊。儘管“文件刪除”聽起來像是一項簡單的任務，但您可以放心，像 Meteor Wiper 惡意軟件這樣的威脅根本不是基本的。他們通常執行一長串任務，以確保他們的執行完美無缺，並且受害者沒有時間做出反應。

就 Meteor Wiper 惡意軟件而言，攻擊似乎是出於政治動機——然而，攻擊者的政治效忠或起源尚不清楚。在襲擊期間，鐵路的留言板收到了大量信息，告訴乘客撥打特定電話了解更多詳情。然而，這部電話不屬於鐵路——撥打它可以讓乘客與最高領袖阿里·哈梅內伊的辦公室取得聯繫。

Meteor Wiper Malware 的攻擊涉及多個階段，以確保完美執行。最初的感染媒介尚不清楚。一旦運行，wiper 就會使用幾個組件來執行攻擊：

• Setup.bat – 篡改 Windows 組策略，以便將惡意可執行文件複製到同一網絡上的其他系統。它還會檢查是否存在防病毒軟件，禁用 Windows Defender，並暫時斷開計算機與 Internet 的連接。它還會清除 Windows 事件日誌並繼續執行三個文件。
• Env.exe 或 msapp.exe – 這兩個文件服務於相同的系統，但它們的名稱不同。這些託管擦除器組件，用於刪除文件。
• Nti.exe – 一個 MBR 鎖，它會覆蓋 MBR（主引導記錄）以防止 PC 啟動。
• Mssetup.exe – 一個屏幕鎖，向受害者顯示圖像和消息。

通常，像 Meteor Wiper 惡意軟件執行的破壞性攻擊旨在傳遞消息。然而，威脅行為者不會這樣做——他們沒有要求，他們沒有說出他們的動機，他們讓受害者蒙在鼓裡。我們還沒有看到 Meteor Wiper 惡意軟件是否會攻擊另一家機構或公司。