Você está visualizando atualmente Hackers Iranianos Ligados à MOIS por Trás de Ataques Destrutivos na Albânia e Israel.

Hackers Iranianos Ligados à MOIS por Trás de Ataques Destrutivos na Albânia e Israel.

Um ator de ameaças iraniano afiliado ao Ministério de Inteligência e Segurança (MOIS) foi atribuído como responsável por ataques de destruição direcionados à Albânia e Israel sob os nomes Homeland Justice e Karma, respectivamente.

A empresa de segurança cibernética Check Point está rastreando a atividade sob o título Void Manticore, que também é referido como Storm-0842 (anteriormente DEV-0842) pela Microsoft.

“Há claras sobreposições entre os alvos do Void Manticore e Scarred Manticore, com indicações de transferência sistemática de alvos entre esses dois grupos ao decidir realizar atividades destrutivas contra vítimas existentes do Scarred Manticore”, afirmou a empresa em um relatório publicado hoje.

O ator de ameaças é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome Homeland Justice, que envolvem o uso de um malware especializado chamado Cl Wiper e No-Justice (também conhecido como LowEraser).

Ataques semelhantes com malware de desativação também visaram sistemas Windows e Linux em Israel após a guerra Israel-Hamas em outubro de 2023, utilizando outro malware de desativação personalizado chamado BiBi. O grupo de hacktivistas pró-Hamas atende pelo nome de Karma.

As cadeias de ataque orquestradas pelo grupo são “simples e diretas”, geralmente alavancando ferramentas disponíveis publicamente e aproveitando o Protocolo de Área de Trabalho Remota (RDP), o Protocolo de Bloco de Servidor (SMB) e o Protocolo de Transferência de Arquivos (FTP) para movimentação lateral antes do desenvolvimento dos malwares.

O acesso inicial, em alguns casos, é obtido através da exploração de falhas de segurança conhecidas em aplicações de internet (por exemplo, CVE-2019-0604), de acordo com um aviso divulgado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) em setembro de 2022.

Uma presença bem-sucedida é seguida pelo desenvolvimento de conchas da web, incluindo uma chamada de Karma Shell que se disfarça como uma página de erro, mas é capaz de enumerar diretórios, criar processos, enviar arquivos e iniciar/parar/listar serviços.

O Void Manticore é suspeito de usar o acesso previamente obtido pelo Scarred Manticore para realizar suas próprias intrusões, destacando um procedimento de “entrega” entre os dois atores de ameaças.

Essas sobreposições em técnicas empregadas em ataques contra Israel e Albânia, incluindo a coordenação entre os dois diferentes atores, sugerem que esse processo se tornou rotineiro.

“As operações do Void Manticore são caracterizadas por sua abordagem dupla, combinando guerra psicológica com destruição de dados reais. Isso é alcançado através de seus ataques de desativação e pela divulgação pública de informações, amplificando assim a destruição nas organizações alvo.”