ГлавнаябезопасностьВредоносное ПО Meteor: атака на железнодорожную систему Ирана

Вредоносное ПО Meteor: атака на железнодорожную систему Ирана

Новое вредоносное ПО для удаления файлов под названием Meteor было обнаружено в ходе недавних атак на железнодорожную систему Ирана.

Ранее в этом месяце министерство транспорта и национальная железнодорожная система Ирана подверглись кибератаке, в результате чего были закрыты веб-сайты службы и нарушено движение поездов. Агенты угроз также разместили на железнодорожных щитах сообщения о том, что движение поездов было отложено или отменено из-за кибератаки.

Вредоносное ПО Meteor

См. Также: Программы-вымогатели: распространенные способы проникновения хакеров в сеть

В некоторых из этих сообщений пассажирам предлагалось позвонить по номеру телефона для получения дополнительной информации, который предназначен для офиса верховного лидера Али Хаменеи.

Помимо отслеживания угрозы, злоумышленники блокируют устройства Windows в сети с помощью экрана блокировки, который блокирует доступ к устройству.

См. Также: DoppelPaymer переименован в программу-вымогатель Grief

Новый стеклоочиститель Meteor использовался при атаках в Иране

В новом отчете SentinelOne исследователь безопасности Хуан Андрес Герреро-Сааде показал, что при кибератаке в Иране использовался невидимый очиститель файлов под названием Meteor.

Wiper Meteor - это вредоносная программа, которая намеренно удаляет файлы на компьютере и вызывает его загрузку.

В отличие от атак программ-вымогателей, атаки вредоносных программ очистки не используются для монетизации злоумышленников. Вместо этого они стремятся создать хаос в организации или отвлечь менеджеров, пока сбываться еще одна атака.

В то время как иранская компания по кибербезопасности Aman Pardaz ранее проанализировала очиститель, SentinelOne может найти дополнительные компоненты отсутствует, чтобы дать более четкое представление об этом атака.

Сама атака называется «MeteorExpress» и использует панель инструментов пакетного файла и исполняемые файлы для очистки системы, блокировки главной загрузочной записи (MBR) устройства и установки средства блокировки экрана.

Для запуска атаки хакеры извлекают RAR-файл, защищенный паролем hackemall. Затем злоумышленники добавили эти файлы в часть сети, доступную для других компьютеров в иранской железнодорожной сети.

См. Также: Haron & BlackMatter: новые группы программ-вымогателей, которые "принесли" в июле

Затем агент угрозы настроил групповые политики Windows для запуска пакетного файла setup.bat, который затем копировал различные исполняемые и пакетные файлы на локальное устройство и выполнял их.

Когда это будет сделано, устройство не сможет загрузиться, его файл будет удален и будет установлена ​​программа блокировки экрана со следующими обоями перед первой перезагрузкой компьютера.

Источник информации: bleepingcomputer.com

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ