Um ator de ameaças iraniano afiliado ao Ministério da Inteligência e Segurança (MOIS) foi atribuído a ataques de exclusão destrutiva direcionados à Albânia e Israel sob as personas Homeland Justice e Karma, respectivamente.
A empresa de segurança cibernética Check Point está rastreando a atividade sob o nome Void Manticore, também conhecido como Storm-0842 (anteriormente DEV-0842) pela Microsoft.
“Há claras sobreposições entre os alvos de Void Manticore e Scarred Manticore, com indicações de repasse sistemático de alvos entre esses dois grupos ao decidir conduzir atividades destrutivas contra vítimas existentes de Scarred Manticore”, disse a empresa em um relatório publicado hoje.
O ator de ameaças é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome Homeland Justice, que envolvem o uso de malware exclusivo de exclusão chamado Cl Wiper e No-Justice (também conhecido como LowEraser).
Ataques semelhantes de malware de exclusão também têm como alvo sistemas Windows e Linux em Israel após a guerra Israel-Hamas depois de outubro de 2023, usando outro malware de exclusão personalizado chamado BiBi. O grupo hacktivista pró-Hamas se chama Karma.
As cadeias de ataque orquestradas pelo grupo são “simples e diretas”, geralmente aproveitando ferramentas disponíveis publicamente e fazendo uso do Protocolo de Área de Trabalho Remoto (RDP), Protocolo de Mensagens de Servidor (SMB) e Protocolo de Transferência de Arquivos (FTP) para movimentação lateral antes da implantação do malware.
O acesso inicial em alguns casos é alcançado pela exploração de falhas de segurança conhecidas em aplicativos voltados para a internet (por exemplo, CVE-2019-0604), de acordo com um aviso emitido pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) em setembro de 2022.
Uma presença bem-sucedida é seguida pela implantação de shells da web, incluindo um feito sob medida chamado Karma Shell que se disfarça como uma página de erro, mas é capaz de enumerar diretórios, criar processos, fazer upload de arquivos e iniciar/parar/listar serviços.
O Void Manticore é suspeito de usar o acesso anteriormente obtido pelo Scarred Manticore (também conhecido como Storm-0861) para realizar suas próprias intrusões, destacando um procedimento de “repassar” entre os dois atores de ameaças.
Esse alto grau de cooperação foi anteriormente destacado pela Microsoft em sua própria investigação sobre ataques direcionados aos governos albaneses em 2022, observando que vários atores iranianos participaram disso e que eram responsáveis por fases distintas –
– Storm-0861 obteve acesso inicial e exfiltrou dados
– Storm-0842 implantou o ransomware e malware de exclusão
– Storm-0166 exfiltrou dados
– Storm-0133 sondou a infraestrutura da vítima
Também vale ressaltar que o Storm-0861 é avaliado como um elemento subordinado dentro do APT34 (também conhecido como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten e OilRig), um grupo estatal iraniano conhecido pelo malware de exclusão Shamoon e ZeroCleare.
“O superposição de técnicas empregadas em ataques contra Israel e Albânia, incluindo a coordenação entre os dois atores diferentes, sugere que esse processo se tornou rotina”, disse a Check Point.
“As operações do Void Manticore são caracterizadas por sua abordagem dual, combinando guerra psicológica com destruição de dados reais. Isso é alcançado por meio de seus ataques de exclusão e vazamento público de informações, amplificando assim a destruição nas organizações-alvo.”
