Threat Database Malware Meteor Wiper-Malware

Meteor Wiper-Malware

Meteor Wiper ist, wie der Name schon sagt, eine Wischer-Malware, die entwickelt wurde, um infizierten Computern irreversiblen Schaden zuzufügen. Solche Bedrohungen werden eingesetzt, wenn der Bedrohungsakteur keine Geldgewinne anstrebt. Stattdessen besteht das Ziel darin, entweder den Betrieb des bestimmten Ziels so stark zu stören oder den Wiper-Angriff als Ablenkung zu nutzen, um das wahre Ziel der Hacker zu verbergen. Meteor Wiper ist eine bisher unbekannte Malware, die im Rahmen des Cyberangriffs auf das iranische Eisenbahnsystem eingesetzt wurde.

Die Entdeckung des Meteor Wiper

Eine erste Analyse des Angriffs ergab keine Spuren der Wiper-Bedrohung. Der Bedrohungsakteur hinter dem Hack wurde bisher nicht ermittelt. Dennoch gelang es den Cyberkriminellen, das iranische Verkehrsministerium erfolgreich zu durchbrechen und das Zugsystem des Landes zu stören. Die Angreifer schlossen die offizielle Website der Behörde und gaben ihren Erfolg bekannt, indem sie eine Nachricht über den Cyberangriff auf den Message Boards der Bahn anzeigten. Mehrere der angezeigten Nachrichten forderten Passagiere, die weitere Informationen über den Vorfall erhalten möchten, auf, eine Telefonnummer anzurufen, die bestimmt dem Obersten Führer des Iran, Ali Khamenei, gehört. Im Hintergrund führte der Hack auch dazu, dass mehrere Windows-Geräte hinter einem Sperrbildschirm gesperrt wurden, der den Zugriff auf die Systeme versperrte.

Die erste, die entdeckte, dass auch zusätzliche Bedrohungen wie Meteor Wiper eingesetzt wurden, war die iranische Cybersicherheitsfirma Aman Pardaz. Ein Bericht von SentinelOne und dem Forscher Juan Andres Guerrero-Saade enthüllte tiefere Informationen über die Bedrohung und mehrere neue Komponenten, die aufgedeckt wurden.

Die Angriffskette

Vor dem Einsatz des Meteor Wiper verwendete der Bedrohungsakteur mehrere ausführbare Dateien und Batch-Dateien, die an jedes kompromittierte Gerät geliefert wurden, und hatte die Aufgabe, die lokale Umgebung für die endgültigen Nutzlasten vorzubereiten. Zuerst wurde das System nach bestimmten Anti-Malware-Produkten durchsucht, die, wenn sie entdeckt wurden, anschließend beendet wurden. Anschließend wird das Zielgerät vom Netzwerk getrennt. Um den reibungslosen Betrieb von Malware-Bedrohungen zu erleichtern, werden Ausschlüsse zu Windows Defender hinzugefügt. Im nächsten Schritt werden mehrere Schadsoftware-Payloads extrahiert. Nachdem mehrere zusätzliche Aufgaben ausgeführt wurden, beispielsweise das Löschen von Windows-Ereignisprotokollen und das Leeren des Dateisystemcaches auf die Festplatte, werden die endgültigen Nutzdaten gestartet. Dazu gehören der Meteor-Wischer, der als Datei namens 'env.exe' oder 'msapp.exe' geliefert wird, ein MBR (Master Boot Record)-Schließfach und ein Bildschirm-Schließfach.

Im Trend

Am häufigsten gesehen

Wird geladen...