Um ator de ameaças iraniano afiliado ao Ministério da Inteligência e Segurança (MOIS) foi atribuído como responsável por ataques de exclusão destrutiva direcionados à Albânia e Israel sob as personas Homeland Justice e Karma, respectivamente.
A empresa de segurança cibernética Check Point está rastreando a atividade sob o moniker Void Manticore, que também é chamado de Storm-0842 (antes DEV-0842) pela Microsoft.
“Existem clara sobreposições entre os alvos de Void Manticore e Scarred Manticore, com indicações de transferência sistemática de alvos entre esses dois grupos ao decidir realizar atividades destrutivas contra vítimas existentes de Scarred Manticore,” afirmou a empresa em um relatório publicado hoje.
O ator de ameaças é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome Homeland Justice, que envolvem o uso de malware exclusivo chamado Cl Wiper e No-Justice (também conhecido como LowEraser).
Ataques semelhantes de malware de exclusão também foram direcionados a sistemas Windows e Linux em Israel após a guerra Israel-Hamas, depois de outubro de 2023, usando outro malware de exclusão chamado BiBi. O grupo hacktivista pró-Hamas atende pelo nome de Karma.
Cadeias de ataque orquestradas pelo grupo são “simples e diretas”, geralmente alavancando ferramentas disponíveis publicamente e fazendo uso de Protocolo de Área de Trabalho Remota (RDP), Bloco de Mensagens de Servidor (SMB) e Protocolo de Transferência de Arquivos (FTP) para movimentação lateral antes da implantação de malware.
O acesso inicial em alguns casos é alcançado pela exploração de falhas de segurança conhecidas em aplicativos que estão online, segundo um aviso divulgado pela Agência de Segurança Cibernética e Infraestrutura dos EUA em setembro de 2022.
Um ponto de apoio bem-sucedido é seguido pela implantação de shells da web, incluindo um chamado Karma Shell que se disfarça como uma página de erro, mas é capaz de enumerar diretórios, criar processos, enviar arquivos e iniciar/parar/listar serviços.
Void Manticore é suspeito de usar o acesso previamente obtido por Scarred Manticore (também conhecido como Storm-0861) para realizar suas próprias intrusões, sublinhando um procedimento de “transferência” entre os dois atores de ameaça.
Esse alto grau de cooperação foi anteriormente também destacado pela Microsoft em sua própria investigação sobre ataques direcionados a governos albaneses em 2022, observando que vários atores iranianos participaram do mesmo e eram responsáveis por fases distintas.
Também vale ressaltar que Storm-0861 é avaliado como um elemento subordinado dentro do APT34 (também conhecido como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten e OilRig), um grupo de nação-estado iraniano conhecido pelos malwares de exclusão Shamoon e ZeroCleare.
“As sobreposições de técnicas empregadas em ataques contra Israel e Albânia, incluindo a coordenação entre os dois diferentes atores, sugerem que esse processo se tornou rotineiro,” disse a Check Point.
“As operações do Void Manticore são caracterizadas por sua abordagem dupla, combinando guerra psicológica com destruição de dados reais. Isso é alcançado através de seus ataques de exclusão e pela divulgação pública de informações, amplificando assim a destruição nas organizações-alvo.”