Uma ameaça cibernética iraniana afiliada ao Ministério de Inteligência e Segurança (MOIS) foi atribuída como responsável por ataques de apagamento destrutivos direcionados à Albânia e Israel sob as personas Justiceiro da Pátria e Carma, respectivamente.
A empresa de segurança cibernética Check Point está rastreando a atividade sob o nome de código Manticore do Vazio, também conhecido como Storm-0842 (anteriormente DEV-0842) pela Microsoft.
“Há claras sobreposições entre os alvos do Manticore do Vazio e Manticore Cicatrizada, com indicações de repasse sistemático de alvos entre esses dois grupos ao decidir conduzir atividades destrutivas contra vítimas existentes do Manticore Cicatrizada”, disse a empresa em um relatório publicado hoje.
O ator da ameaça é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022 sob o nome de Justiceiro da Pátria, que envolvem o uso de um malware apagador exclusivo chamado Cl Wiper e No-Justice (também conhecido como LowEraser).
Ataques semelhantes de malware apagador também foram direcionados a sistemas Windows e Linux em Israel após a guerra Israel-Hamas após outubro de 2023, usando outro malware apagador chamado BiBi. O grupo hacktivista pró-Hamas se chama Carma.
As cadeias de ataque orquestradas pelo grupo são “diretas e simples”, geralmente alavancando ferramentas disponíveis publicamente e fazendo uso do Protocolo de Área de Trabalho Remota (RDP), Protocolo de Mensagem de Servidor (SMB) e Protocolo de Transferência de Arquivos (FTP) para movimento lateral antes do implante de malware.
O acesso inicial em alguns casos é conseguido pela exploração de falhas de segurança conhecidas em aplicativos voltados para a internet. Um ponto de apoio bem-sucedido é seguido pelo implante de shells da web, incluindo um chamado Shell Carma que se disfarça como uma página de erro, mas é capaz de enumerar diretórios, criar processos, fazer upload de arquivos e iniciar/parar/listar serviços.
O Manticore do Vazio é suspeito de usar o acesso obtido anteriormente pelo Manticore Cicatrizada para realizar suas próprias intrusões, destacando um procedimento de “transmissão” entre os dois atores de ameaça.
Essa alta cooperação foi anteriormente destacada pela Microsoft em sua própria investigação de ataques direcionados aos governos albaneses em 2022, observando que vários atores iranianos participaram e foram responsáveis por fases distintas.
Também vale ressaltar que o Manticore Cicatrizada é avaliado como um elemento subordinado dentro do APT34 (também conhecida como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten e OilRig), um grupo patrocinado pelo Estado iraniano conhecido pelos malwares apagadores Shamoon e ZeroCleare. As técnicas empregadas nos ataques contra Israel e Albânia, incluindo a coordenação entre os dois diferentes atores, sugerem que esse processo se tornou rotineiro. As operações do Manticore do Vazio são caracterizadas por sua abordagem dupla, combinando guerra psicológica com destruição de dados propriamente dita, alcançadas por meio de seus ataques de apagamento e vazamento público de informações, ampliando assim a destruição nas organizações-alvo.