Uma organização de ameaças iraniana afiliada ao Ministério de Inteligência e Segurança (MOIS) foi atribuída como a responsável pelos ataques destrutivos dirigidos à Albânia e Israel, sob as personas Justiça Patriota e Karma, respectivamente.
A empresa de cibersegurança Check Point está rastreando a atividade sob o nome de código Manticore Vazio, que também é referido como Tempestade-0842 (anteriormente DEV-0842) pela Microsoft.
“Há claras sobreposições entre os alvos do Manticore Vazio e Scarred Manticore, com indicações de transferência sistemática de alvos entre esses dois grupos ao decidir realizar atividades destrutivas contra as vítimas existentes do Scarred Manticore”, afirmou a empresa em um relatório publicado hoje.
O grupo de ameaças é conhecido por seus ataques cibernéticos disruptivos contra a Albânia desde julho de 2022, sob o nome Justiça Patriota, que envolve o uso de um malware destrutivo personalizado chamado Cl Wiper e No-Justice (também conhecido como LowEraser).
Ataques semelhantes com malware destrutivo também foram direcionados a sistemas Windows e Linux em Israel após a guerra entre Israel e o Hamas, depois de outubro de 2023, usando outro malware destrutivo chamado BiBi. O grupo hacktivista pró-Hamas é conhecido como Karma.
As cadeias de ataques orquestrados pelo grupo são “diretas e simples”, geralmente aproveitando ferramentas disponíveis publicamente e fazendo uso do Protocolo de Desktop Remoto (RDP), do Bloco de Mensagens do Servidor (SMB) e do Protocolo de Transferência de Arquivos (FTP) para movimentação lateral antes do deployment de malware.
O acesso inicial em alguns casos é conseguido pela exploração de falhas de segurança conhecidas em aplicações voltadas para a internet, de acordo com um aviso divulgado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) em setembro de 2022.
Uma vez obtida a posição, é feito o deployment de shells web, incluindo um chamado Karma Shell, que se passa por uma página de erro, mas é capaz de enumerar diretórios, criar processos, enviar arquivos e iniciar/parar/listar serviços.
Manticore Vazio é suspeito de usar o acesso previamente obtido pelo Scarred Manticore (também conhecido como Tempestade-0861) para realizar suas próprias intrusões, sublinhando um procedimento de “transferência” entre os dois grupos de ameaças.
Essa intensa cooperação foi anteriormente destacada pela Microsoft em sua própria investigação sobre os ataques contra governos albaneses em 2022, observando que múltiplos atores iranianos participaram e que eram responsáveis por fases distintas –
– Tempestade-0861 obteve acesso inicial e exfiltrou dados
– Tempestade-0842 implantou o ransomware e o malware destrutivo
– Tempestade-0166 exfiltrou dados
– Tempestade-0133 sondou a infraestrutura das vítimas
Também vale ressaltar que a Tempestade-0861 é avaliada como um elemento subordinado dentro do APT34 (também conhecido como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten, e OilRig), um grupo estatal iraniano conhecido pelos malwares destrutivos Shamoon e ZeroCleare.
“As sobreposições nas técnicas empregadas nos ataques contra Israel e Albânia, incluindo a coordenação entre os dois atores diferentes, sugerem que esse processo se tornou rotineiro”, afirmou a Check Point.
“As operações do Manticore Vazio são caracterizadas por sua abordagem dupla, combinando guerra psicológica com destruição de dados real. Isso é alcançado através do uso de ataques de limpeza e vazamento público de informações, ampliando assim a destruição nas organizações-alvo.”
