Um ator de ameaças iraniano afiliado ao Ministério da Inteligência e Segurança (MOIS) tem sido atribuído como responsável por ataques de apagamento destrutivos direcionados à Albânia e Israel sob as personas Homeland Justice e Karma, respectivamente.

A empresa de cibersegurança Check Point está rastreando a atividade sob o nome de Void Manticore, que também é conhecido como Storm-0842 (anteriormente DEV-0842) pela Microsoft.

“Há claras sobreposições entre os alvos de Void Manticore e Scarred Manticore, com indicações de repasse sistemático de alvos entre esses dois grupos ao decidir realizar atividades destrutivas contra vítimas existentes de Scarred Manticore”, afirmou a empresa em um relatório publicado hoje.

O ator de ameaças é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome de Homeland Justice, que envolvem o uso de um malware de apagamento personalizado chamado Cl Wiper e No-Justice (também conhecido como LowEraser).

Ataques semelhantes de malware de apagamento também têm como alvo sistemas Windows e Linux em Israel após a guerra entre Israel e o Hamas após outubro de 2023, usando outro malware de apagamento personalizado chamado BiBi. O grupo de hacktivistas pró-Hamas atende pelo nome de Karma.

Cadeias de ataque orquestradas pelo grupo são “simples e diretas”, geralmente utilizando ferramentas disponíveis publicamente e utilizando Protocolo de Área de Trabalho Remota (RDP), Protocolo de Mensagem de Servidor (SMB) e Protocolo de Transferência de Arquivos (FTP) para movimentação lateral antes da implantação do malware.

O acesso inicial em alguns casos é realizado por meio da exploração de falhas de segurança conhecidas em aplicativos voltados para a internet (por exemplo, CVE-2019-0604), conforme informado em um comunicado divulgado pela Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) em setembro de 2022.

Um ponto de apoio bem-sucedido é seguido pela implantação de shells da web, incluindo um chamado Karma Shell feito sob medida que se disfarça de página de erro, mas é capaz de enumerar diretórios, criar processos, fazer upload de arquivos e iniciar/parar/listar serviços.

Suspeita-se que o Void Manticore esteja usando acessos obtidos anteriormente pelo Scarred Manticore (também conhecido como Storm-0861) para realizar suas próprias intrusões, enfatizando um procedimento de “repassagem” entre os dois atores de ameaças.

Essa alta cooperação foi destacada anteriormente pela Microsoft em sua própria investigação sobre os ataques direcionados aos governos albaneses em 2022, observando que vários atores iranianos participaram e que eram responsáveis por fases distintas.

Também vale ressaltar que o Storm-0861 é avaliado como um elemento subordinado dentro do APT34 (também conhecido como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten e OilRig), um grupo patrocinado pelo estado iraniano conhecido pelos malwares Shamoon e ZeroCleare.

“As sobreposições nas técnicas empregadas nos ataques contra Israel e Albânia, incluindo a coordenação entre os dois diferentes atores, sugerem que esse processo se tornou rotineiro”, afirmou a Check Point.

“As operações do Void Manticore são caracterizadas por sua abordagem dupla, combinando guerra psicológica com destruição real de dados. Isso é alcançado por meio do uso de ataques de apagamento e pela publicação de informações, amplificando assim a destruição nas organizações visadas.”