Um ator de ameaças iraniano afiliado ao Ministério de Inteligência e Segurança (MOIS) foi atribuído como responsável por ataques de exclusão destrutiva visando Albânia e Israel sob as personas Justiça Pátria e Karma, respectivamente.
A empresa de segurança cibernética Check Point está rastreando a atividade sob o nome Void Manticore, que também é conhecido como Storm-0842 (anteriormente DEV-0842) pela Microsoft.
“Há claras sobreposições entre os alvos do Void Manticore e Scarred Manticore, com indicações de repasse sistemático de alvos entre esses dois grupos ao decidir conduzir atividades destrutivas contra vítimas existentes do Scarred Manticore”, disse a empresa em um relatório publicado hoje.
O ator de ameaças é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome Justiça Pátria, que envolvem o uso de um malware feito sob medida chamado Cl Wiper e No-Justice (também conhecido como LowEraser).
Ataques semelhantes de malware de exclusão também visaram sistemas Windows e Linux em Israel após a guerra Israel-Hamas após outubro de 2023 usando outro malware de exclusão chamado BiBi. O grupo hacktivista pró-Hamas responde pelo nome de Karma.
Cadeias de ataques orquestradas pelo grupo são “diretas e simples”, geralmente alavancando ferramentas disponíveis publicamente e fazendo uso de Protocolo de Área de Trabalho Remoto (RDP), Bloco de Mensagens do Servidor (SMB) e Protocolo de Transferência de Arquivos (FTP) para movimentação lateral antes da implementação de malware.
O acesso inicial em alguns casos é conseguido pela exploração de falhas de segurança conhecidas em aplicativos voltados para a internet (por exemplo, CVE-2019-0604), de acordo com um aviso emitido pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) em setembro de 2022.
Um ponto de apoio bem-sucedido é seguido pela implementação de shells da web, incluindo um chamado Karma Shell que se disfarça como uma página de erro, mas é capaz de enumerar diretórios, criar processos, fazer upload de arquivos e iniciar/parar/listar serviços.
O Void Manticore é suspeito de usar acesso previamente obtido pelo Scarred Manticore (também conhecido como Storm-0861) para realizar suas próprias intrusões, destacando um procedimento de “repasse” entre os dois atores de ameaças.
Este alto grau de cooperação foi anteriormente também destacado pela Microsoft em sua própria investigação de ataques visando governos albaneses em 2022, observando que vários atores iranianos participaram e foram responsáveis por fases distintas.
Também vale ressaltar que o Storm-0861 é avaliado como um elemento subordinado dentro do APT34 (também conhecido como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten e OilRig), um grupo patrocinado pelo estado iraniano conhecido pelos malwares Shamoon e ZeroCleare.
“As sobreposições de técnicas empregadas em ataques contra Israel e Albânia, incluindo a coordenação entre os dois diferentes atores, sugerem que esse processo se tornou rotineiro”, disse a Check Point.
“As operações do Void Manticore são caracterizadas por sua abordagem dual, combinando guerra psicológica com destruição de dados reais. Isso é alcançado através de seus ataques de exclusão e pelo vazamento público de informações, amplificando assim a destruição nas organizações alvo.”
