去年7月底，伊朗遭受一場網絡攻擊使伊朗交通部及其國家鐵路系統的癱瘓，導致火車服務大范圍中斷，據報道是一種前所未見的可重復使用的擦除器惡意軟件“Meteor”的結果。

去年10底，伊朗再次遭受網絡攻擊，導致全國各地的加油站癱瘓，擾亂了燃料銷售，并破壞了電子廣告牌，以顯示挑戰其政權分配汽油能力的信息。

剛剛步入2022年，伊朗再次遭受網絡攻擊。對 2022 年 1 月下旬針對伊朗國家媒體公司伊朗伊斯蘭共和國廣播公司 (IRIB) 的網絡攻擊的調查導致部署了擦除惡意軟件和其他自定義植入程序，因為該國的國家基礎設施繼續面臨一波針對目標的攻擊在造成嚴重損害時。

總部位于特拉維夫的網絡安全公司 Check Point 在上周發布的一份報告中表示：表明攻擊者的目標也是破壞該州的廣播網絡，對電視和廣播網絡的破壞可能比官方報道的更為嚴重。

1 月 27 日發生的 10 秒襲擊涉及違反國家廣播公司 IRIB 播放圣戰者組織 ( MKO ) 領導人 Maryam 和 Massoud Rajavi 的照片，同時呼吁暗殺最高領導人 Ayatollah Ali哈梅內伊。

IRIB 副主任 Ali Dadi對國家電視頻道 IRINN 認為這是一種極其復雜的攻擊，只有擁有這項技術的人才能利用和破壞系統上安裝的后門和功能。在黑客攻擊過程中還部署了定制的惡意軟件，能夠截取受害者的屏幕截圖，以及用于安裝和配置惡意可執行文件的后門、批處理腳本和配置文件。

Check Point 表示，沒有足夠的證據來正式歸因于特定的威脅行為者，目前尚不清楚攻擊者是如何獲得對目標網絡的初始訪問權限的。迄今為止發現的證據包括負責

• 建立后門及其持久性，
• 啟動“惡意”視頻和音頻文件，以及
• 安裝wiper惡意軟件以試圖破壞被黑網絡中的操作。

在幕后，攻擊涉及使用批處理腳本中斷視頻流，以刪除與 IRIB 使用的廣播軟件 TFI Arista Playout Server 相關的可執行文件，并循環播放視頻文件(“TSE_90E11.mp4”)。

入侵還為安裝擦除器鋪平了道路，擦除器的主要目的是破壞存儲在計算機中的文件，更不用說擦除主引導記錄 ( MBR )、清除 Windows 事件日志、刪除備份、終止進程和更改用戶的密碼。

此外，攻擊者在攻擊中利用四個后門：WinScreeny、HttpCallbackService、HttpService 和 ServerLaunch，這是一個使用 HttpService 啟動的 dropper。綜合起來，不同的惡意軟件使攻擊者能夠捕獲屏幕截圖、從遠程服務器接收命令并執行其他惡意活動。

一方面，攻擊者設法完成了一項復雜的操作，繞過安全系統和網絡分段，滲透到廣播公司的網絡，生產和運行嚴重依賴受害者使用的廣播軟件的內部知識的惡意工具，同時保持在偵察和初始入侵階段處于雷達之下。另一方面，攻擊者的工具質量和復雜程度相對較低，并且是由笨拙且有時有錯誤的 3 行批處理腳本啟動的。這可能支持攻擊者可能從 IRIB 內部獲得幫助的理論，或者表明具有不同技能的不同群體之間存在未知的合作。