摘要：该组织的行动时间表揭示了其日益复杂的攻击模式和破坏力。2019-2020 年初，该组织针对叙利亚实体（包括 Alfadelex Trading 和 Cham Wings Airlines）发动攻击，确立了其网络渗透能力。

Predatory Sparrow （掠食麻雀）已成为针对中东地区关键基础设施的最具破坏性的威胁组织之一，其行动主要集中在伊朗和叙利亚的资产上。

该黑客组织据信与以色列利益有关，策划了从 2019 年到 2025 年的一系列毁灭性的网络攻击，目标是铁路、钢铁厂、金融机构和燃料分销网络。

他们的活动以故意破坏数据、瘫痪运营和挑衅性公开信息为特征，旨在最大限度地产生心理影响和物理破坏。

该组织的行动时间表揭示了其日益复杂的攻击模式和破坏力。2019-2020 年初，该组织针对叙利亚实体（包括 Alfadelex Trading 和 Cham Wings Airlines）发动攻击，确立了其网络渗透能力。

他们最重大的行动发生在 2021 年 7 月，当时针对伊朗国家铁路系统部署了“流星”擦除器恶意软件，造成大面积服务中断，并在车站公告牌上显示嘲讽信息。

这次袭击证明了他们有能力在精确的时间内破坏关键的国家基础设施。最近，“Predatory Sparrow （掠食麻雀）”已将攻击目标扩大到金融基础设施，并造成毁灭性的影响。

继 2025 年 6 月以色列对伊朗发动空袭之后，该组织对塞帕银行和 Nobitex 加密货币交易所发动了协同攻击。

在 Nobitex 漏洞中，他们声称通过将资产转移到无法访问的地址，导致 9000 万美元的加密货币永久无法恢复，同时泄露了交易所的完整源代码和基础设施文档。

Picussecurity 分析师在调查伊朗铁路事件期间发现了该组织复杂的多阶段攻击方法。

他们的分析表明，Predatory Sparrow 采用复杂的批处理脚本和加密有效载荷链来建立持久性、禁用防御并部署破坏性擦除器。

该组织通过在有效载荷执行之前进行侦察来识别特定目标系统，展示了先进的环境意识。

Predatory Sparrow 攻击的技术架构以其定制的 Meteor 擦除器恶意软件为中心，该恶意软件利用加密的配置文件和多阶段批处理脚本执行。

攻击链从 setup.bat 脚本开始，该脚本针对特定的乘客信息系统服务器（PIS-APP、PIS-MOB、WSUSPROXY、PIS-DB）执行主机名验证，确保恶意负载避免在显示系统上执行，同时保证攻击者的消息出现在面向公众的板上。

msrun.bat 脚本作为擦除器有效负载的部署机制，通过 Windows 任务计划程序创建一个配置为在 23:55:00 执行的计划任务。

在执行擦除器之前，cache.bat 脚本会使用PowerShell 命令系统地禁用所有网络适配器：

powershell -Command "Get-WmiObject -class Win32_NetworkAdapter | ForEach { If ($.NetEnabled) { $.Disable } }" > NUL

防御规避技术包括通过针对安全、系统和应用程序日志的 wevtutil 命令清除 Windows 事件日志，从而有效消除取证证据：

Meteor 擦除器对其配置文件 (msconf.conf) 和日志文件采用基于 XOR 的加密。研究人员开发了 Python 解密实用程序，揭示了该恶意软件的内部操作：

为了确保彻底销毁系统，bcd.bat 脚本会操纵启动配置数据并删除卷影副本，从而阻止恢复：

这种全面的数据破坏和系统破坏方法表明，Predatory Sparrow 专注于造成不可逆转的损害而不是数据泄露，这符合他们针对伊朗利益进行报复性网络战的既定使命。

来源：会杀毒的单反狗