伊朗国家广播公司遭重大网络攻击，导致电视台播放反动视频

最近的网络安全事件研究中，1月27日，伊朗国家广播公司（IRIB）遭到黑客攻击，导致多个国营电视频道播放反动视频。2月18日，研究人员发布报告称，这是一次笨拙而简单的雨刷式(wiper)攻击。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，此前伊朗曾发生一系列出于政治动机的攻击事件，包括7月份针对伊朗国家交通网络的雨刷式攻击。尽管早期的多起攻击被归因于伊朗APT组织Indra，但研究人员基于攻击中使用的恶意软件和工具推断，此次针对IRIB的攻击者并非Indra组织，而是一个模仿者。

伊朗最新网络攻击的时间表如下图：

研究人员发现了截取受害者屏幕截图的恶意软件、几个定制的后门，以及用于安装和配置恶意可执行文件的相关批处理脚本和配置文件。研究人员分析了IRIB网络攻击中的工具，并将它们与Indra的工具进行了比较。尽管攻击者在针对IRIB的攻击中使用了wiper，但与Indra使用的似乎不是同一个wiper。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，针对IRIB的攻击设法绕过安全系统和网络分段，渗透到广播公司的网络。攻击者的工具质量和复杂度相对较低，并且攻击是由笨拙且有时有bug的3行批处理脚本启动的。这可能表明攻击者可能从IRIB内部获得了帮助，或者具有不同技能的不同群体之间存在未知的合作。研究人员目前仍然不确定攻击者如何获得对IRIB网络的初始访问权限。

攻击者在攻击中利用了四个后门：WinScreeny、HttpCallbackService、HttpService 和 ServerLaunch，这是一个使用 HttpService 启动的 dropper。综合起来，不同的恶意软件使攻击者能够捕获屏幕截图、从远程服务器接收命令并执行其他恶意活动。

WinScreeny是一个后门程序，主要目的是捕获受害者计算机的屏幕截图。HttpCallbackService是一种远程管理工具(RAT)，它每五秒与命令和控制(C2)服务器通信以接收要执行的命令。HttpService是一个后门，它监听指定的端口，可以执行命令、操作本地文件、下载或上传文件或执行其他恶意活动。ServerLaunch释放器可以同时启动httpservice2和httpservice4，可能允许攻击者确保C2通信。

入侵还为安装擦除器铺平了道路，擦除器的主要目的是破坏存储在计算机中的文件，更不用说擦除主引导记录 ( MBR )、清除 Windows 事件日志、删除备份、终止进程和更改用户的密码。

在分析攻击中使用的wiper时，研究人员发现了两个相同的.NET样本，名为msdskint.exe，其主要目的是擦除计算机文件、驱动器和MBR，还具有清除Windows事件日志、删除备份、终止进程和更改用户密码等功能。