เว็บไซต์ thehackernews.com รายงานเมื่อ 30 ก.ค.64 ว่า นักวิจัยของบริษัท SentinelOne ที่ให้บริการด้านการรักษาความปลอดภัยทางไซเบอร์ของสหรัฐฯ และบริษัท Amnpardaz ที่พัฒนาซอฟต์แวร์ป้องกันไวรัสในอิหร่าน ระบุ หลังร่วมตรวจสอบร่องรอยหลักฐานทางดิจิทัลภายใต้โครงการ MeteorExpress จากเหตุการณ์การโจมตีเว็บไซต์กระทรวงคมนาคมและระบบรถไฟแห่งชาติของอิหร่าน เมื่อ 9 ก.ค.64 ที่ส่งผลให้ระบบขนส่งทางรางของอิหร่านเกิดการหยุดชะงักและรถไฟหลายร้อยขบวนล่าช้าหรือถูกยกเลิกนั้น ว่า มีมัลแวร์ Wiper ชนิดใหม่ที่ไม่พบความเชื่อมโยงกับกลุ่มภัยคุกคามใดมาก่อน ถูกนำมาใช้ในการโจมตีดังกล่าว ซึ่งนักวิจัยสามารถจำลองรูปแบบการโจมตีได้และเรียกมัลแวร์ดังกล่าวว่า “Meteor” ทั้งนี้มัลแวร์ Wiper (มัลแวร์ที่ลบข้อมูลของคอมพิวเตอร์เป้าหมาย) ได้รับการพัฒนาขึ้นตั้งแต่ห้วงปี 2562 และถูกออกแบบให้สามารถนำกลับมาใช้งานได้อีก (reusable)
กระดานแสดงเข้อมูลอิเล็กทรอนิกส์ภายในสถานีรถไฟ ถูกผู้โจมตีแก้ไขหมายเลขโทรศัพท์ศูนย์ให้ความช่วยเหลือนักเดินทางบนกระดานเป็นหมายเลขโทรศัพท์ของสำนักงานผู้นำสูงสุดของอิหร่าน ขอบคุณภาพประกอบจาก thehackernews.com
SentinelOne ระบุว่า ห่วงโซ่ของการติดเชื้อเริ่มต้นด้วยการเจาะนโยบายกลุ่ม (Group Policy) ของระบบปฏิบัติการ Windows เพื่อปรับใช้ชุดเครื่องมือที่ประกอบด้วยชุดไฟล์แบตช์ที่ถูกจัดเตรียม ซึ่งดึงมาจากไฟล์ RAR หลายไฟล์และเชื่อมโยงเข้ากับระบบเพื่อสะดวกในการเข้ารหัสระบบไฟล์ สร้างความเสียหายให้มาสเตอร์บูตเรคคอร์ด (MBR) และล็อกระบบในการร้องขอ นอกจากนี้ พบว่าไฟล์แบทช์สคริปต์อื่นๆ ที่หลุดระหว่างการโจมตีมีหน้าที่ในการตัดการเชื่อมต่ออุปกรณ์ที่ติดไวรัสออกจากเครือข่าย และสร้างข้อยกเว้นให้กับส่วนประกอบทั้งหมดจากการป้องกันของ Windows Defender ซึ่งเป็นวิธีการที่แพร่หลายมากขึ้นในกลุ่มนักโจมตีในการอำพรางกิจกรรมที่เป็นอันตรายจากระบบป้องกันมัลแวร์ที่ติดตั้งบนเครื่องคอมพิวเตอร์
ห่วงโซ่การโจมตีของ Meteor ขอบคุณภาพประกอบจาก thehackernews.com
Meteor เป็นมัลแวร์ชนิด Wiper ที่กำหนดการตั้งค่าได้จากภายนอกพร้อมความสามารถมากมาย เช่น การลบ Shadow Copy การเปลี่ยนรหัสผ่านของผู้ใช้ การปิดการทำงานของกระบวนการ (process) ของระบบโดยพลการ การปิดใช้งานโหมดการกู้คืน (recovery mode) และดำเนินการคำสั่งที่เป็นอันตราย ทั้งนี้ SentinelOne ระบุว่าภัยคุกคามทางไซเบอร์ในปัจจุบันได้เพิ่มความซับซ้อนขึ้นอย่างมากและผู้โจมตีมักศึกษาเป้าหมายมาเป็นอย่างดี อาทิ การรวบรวมข้อมูลเกี่ยวกับ domain controller ของระบบ รูปแบบการสำรองข้อมูลที่ใช้ และทำการลาดตระเวนเพื่อสำรวจเหยื่ออย่างไร้ร่องรอย ทั้งยังมีเครื่องมือจารกรรมทางไซเบอร์ที่ไม่เปิดเผยอีกเป็นจำนวนมาก
ที่มา : https://thehackernews.com/2021/07/a-new-wiper-malware-was-behind-recent.html
