En 400-6655-581
5
返回列表
> 資源中心 > 文章>榮譽&資訊> 伊朗國家廣播公司遭重大網(wǎng)絡攻擊,導致電視臺播放反動視頻

伊朗國家廣播公司遭重大網(wǎng)絡攻擊,導致電視臺播放反動視頻

文章

2022-02-24瀏覽次數(shù):223

最近的網(wǎng)絡安全事件研究中,1月27日,伊朗國家廣播公司(IRIB)遭到黑客攻擊,導致多個國營電視頻道播放反動視頻。2月18日,研究人員發(fā)布報告稱,這是一次笨拙而簡單的雨刷式(wiper)攻擊。
根據(jù)網(wǎng)絡安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理,此前伊朗曾發(fā)生一系列出于政治動機的攻擊事件,包括7月份針對伊朗國家交通網(wǎng)絡的雨刷式攻擊。盡管早期的多起攻擊被歸因于伊朗APT組織Indra,但研究人員基于攻擊中使用的惡意軟件和工具推斷,此次針對IRIB的攻擊者并非Indra組織,而是一個模仿者。
研究人員發(fā)現(xiàn)了截取受害者屏幕截圖的惡意軟件、幾個定制的后門,以及用于安裝和配置惡意可執(zhí)行文件的相關批處理腳本和配置文件。研究人員分析了IRIB網(wǎng)絡攻擊中的工具,并將它們與Indra的工具進行了比較。盡管攻擊者在針對IRIB的攻擊中使用了wiper,但與Indra使用的似乎不是同一個wiper。
根據(jù)網(wǎng)絡安全行業(yè)門戶「極牛網(wǎng)」GEEKNB.COM的梳理,針對IRIB的攻擊設法繞過安全系統(tǒng)和網(wǎng)絡分段,滲透到廣播公司的網(wǎng)絡。攻擊者的工具質(zhì)量和復雜度相對較低,并且攻擊是由笨拙且有時有bug的3行批處理腳本啟動的。這可能表明攻擊者可能從IRIB內(nèi)部獲得了幫助,或者具有不同技能的不同群體之間存在未知的合作。研究人員目前仍然不確定攻擊者如何獲得對IRIB網(wǎng)絡的初始訪問權限。
攻擊者在攻擊中利用了四個后門:WinScreeny、HttpCallbackService、HttpService 和 ServerLaunch,這是一個使用 HttpService 啟動的 dropper。綜合起來,不同的惡意軟件使攻擊者能夠捕獲屏幕截圖、從遠程服務器接收命令并執(zhí)行其他惡意活動。
WinScreeny是一個后門程序,主要目的是捕獲受害者計算機的屏幕截圖。HttpCallbackService是一種遠程管理工具(RAT),它每五秒與命令和控制(C2)服務器通信以接收要執(zhí)行的命令。HttpService是一個后門,它監(jiān)聽指定的端口,可以執(zhí)行命令、操作本地文件、下載或上傳文件或執(zhí)行其他惡意活動。ServerLaunch釋放器可以同時啟動httpservice2和httpservice4,可能允許攻擊者確保C2通信。
入侵還為安裝擦除器鋪平了道路,擦除器的主要目的是破壞存儲在計算機中的文件,更不用說擦除主引導記錄 ( MBR )、清除 Windows 事件日志、刪除備份、終止進程和更改用戶的密碼。
在分析攻擊中使用的wiper時,研究人員發(fā)現(xiàn)了兩個相同的.NET樣本,名為msdskint.exe,其主要目的是擦除計算機文件、驅動器和MBR,還具有清除Windows事件日志、刪除備份、終止進程和更改用戶密碼等功能。
文章轉載自極牛網(wǎng)