Um ator de ameaças iraniano afiliado ao Ministério de Inteligência e Segurança (MOIS) foi atribuído como responsável por ataques de exclusão destrutiva direcionados à Albânia e Israel sob os nomes de Homeland Justice e Karma, respectivamente.
A empresa de segurança cibernética Check Point está rastreando a atividade sob o nome “Void Manticore”, que também é referido como Storm-0842 (anteriormente DEV-0842) pela Microsoft.
Há claras sobreposições entre os alvos do Void Manticore e Scarred Manticore, com indicações de uma transferência sistemática de alvos entre esses dois grupos ao decidir realizar atividades destrutivas contra vítimas existentes do Scarred Manticore, disse a empresa em um relatório publicado hoje.
O ator de ameaças é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome Homeland Justice, envolvendo o uso de um malware de exclusão personalizado chamado Cl Wiper e No-Justice (também conhecido como LowEraser).
Ataques semelhantes de malware de exclusão também visaram sistemas Windows e Linux em Israel após a guerra entre Israel e o Hamas, após outubro de 2023, usando outro malware de exclusão chamado BiBi. O grupo hacktivista pró-Hamas se chama Karma.
As cadeias de ataque orquestradas pelo grupo são “diretas e simples”, geralmente aproveitando ferramentas publicamente disponíveis e fazendo uso de Protocolo de Área de Trabalho Remoto (RDP), Protocolo de Mensagens do Servidor (SMB) e Protocolo de Transferência de Arquivos (FTP) para movimentação lateral antes do implante do malware.
O acesso inicial em alguns casos é conquistado pela exploração de falhas de segurança conhecidas em aplicativos de internet (por exemplo, CVE-2019-0604), de acordo com um aviso divulgado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) em setembro de 2022.
Uma presença bem-sucedida é seguida pelo implante de cascas web, incluindo uma chamada Karma Shell, que se disfarça como uma página de erro, mas é capaz de enumerar diretórios, criar processos, fazer upload de arquivos e iniciar/parar/listar serviços.
O Void Manticore é suspeito de usar acesso previamente obtido por Scarred Manticore (também conhecido como Storm-0861) para realizar suas próprias intrusões, destacando um procedimento de “transferência” entre os dois atores de ameaças.
Essa alta cooperação foi destacada anteriormente também pela Microsoft em sua própria investigação sobre ataques contra governos da Albânia em 2022, observando que vários atores iranianos participaram e foram responsáveis por fases distintas, como Storm-0861, Storm-0842, Storm-0166 e Storm-0133.
É também digno de nota que o Storm-0861 é avaliado como um elemento subordinado dentro do grupo APT34 (também conhecido como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten e OilRig), um grupo patrocinado pelo estado iraniano conhecido pelo malware Shamoon e ZeroCleare.
“As sobreposições nas técnicas empregadas nos ataques contra Israel e Albânia, incluindo a coordenação entre os dois diferentes atores, sugerem que esse processo se tornou rotineiro”, disse a Check Point.
“As operações do Void Manticore são caracterizadas pela sua abordagem dupla, combinando guerra psicológica com destruição real de dados. Isso é alcançado através do uso de ataques de exclusão e vazamento público de informações, ampliando assim a destruição nas organizações alvo.”
