Um grupo de ameaças apoiado pelo Estado iraniano tem trabalhado de perto para espionar e, em seguida, causar estragos em importantes organizações na Albânia e em Israel. O Scarred Manticore (também conhecido como Storm-861), o ator de espionagem mais sofisticado do Irã, tem espionado organizações de alto valor no Oriente Médio e além há algum tempo. O grupo é tão eficaz no que faz que uma ameaça persistente avançada (APT) completamente diferente do MOIS, o Void Manticore (também conhecido como Storm-842), está se aproveitando do acesso inicial para lançar campanhas destrutivas.
Até o momento, o Void Manticore afirma ter atacado com sucesso mais de 40 organizações israelenses, com várias campanhas de alto perfil na Albânia também.
Como descrito em um post de blog da Check Point Research, o acordo entre mantícoras é simples e aproveita os pontos fortes de cada grupo. Primeiro, o Scarred Manticore faz a espionagem. Sua inteligente estrutura de malware Liontail sem arquivo permite-lhe realizar discretamente a exfiltração de dados por e-mail, muitas vezes por mais de um ano.
Em seguida, diz Sergey Shykevich, gerente de grupo de inteligência de ameaças na Check Point, “Quando há alguma escalada, como com o Mojahedin-e-Khalq (MEK) na Albânia ou com a guerra em Israel, há um tomador de decisão no governo que decide, ‘Vamos queimar nosso acesso cibernético para espionagem e em vez disso fazer operações de influência e destruição.’ E então eles passam para o outro ator, focado na mesma organização.”
Onde o Scarred Manticore é incisivo e sutil, o Void Manticore é barulhento e confuso. Parte da operação é sobre hack and leaks, onde o Void Manticore atua sob as personas “faketivistas” Homeland Justice, para campanhas relacionadas à Albânia, e Karma, para Israel.
O outro trabalho do grupo é a demolição pura. Usando principalmente ferramentas básicas e disponíveis publicamente, como o protocolo de desktop remoto (RDP) para movimento lateral e o shell da web reGeorg, ele visa os arquivos de uma organização e começa a agir. Às vezes, isso envolve a exclusão manual de arquivos e unidades compartilhadas.
O grupo também possui um arsenal de apagadores personalizados, que podem geralmente ser pensados em duas categorias. Alguns são projetados para corromper arquivos ou tipos de arquivos específicos, sendo uma abordagem mais direcionada.
Outros apagadores do Void Manticore visam a tabela de partição – a parte do sistema hospedeiro responsável por mapear onde os arquivos estão localizados no disco. Ao arruinar a tabela de partição, os dados no disco permanecem intocados, mas inacessíveis.
Organizações que estão no alvo de ataques em nível estatal iraniano podem achar desafiador defender-se contra dois atores de ameaças diferentes, cada um com suas próprias ferramentas, infraestrutura, táticas, técnicas e procedimentos (TTPs). “É um novo fenômeno,” admite Shykevich, “então acho que ninguém realmente pensou profundamente sobre isso ainda.”
O caminho mais fácil pode ser focar na ameaça inicial, apesar de sua maior sofisticação, porque as campanhas de espionagem geralmente levam muito mais tempo do que as destrutivas. “Uma vez que alguém encontra o ator destrutivo, é necessário agir imediatamente. Vimos que quando o ator destrutivo obtém acesso à rede, ele age quase imediatamente. Portanto, o intervalo de tempo, da transferência entre esses dois atores antes do início da destruição, é muito pequeno,” ele diz.
Também existem defesas simples que qualquer organização pode preparar para manter afastado qualquer um dos grupos. Os TTPs simplistas do Void Manticore, por exemplo, podem geralmente ser bloqueados com uma segurança de endpoint competente.
Mesmo o espionagem furtiva do Scarred Manticore pode ser interrompida no início, na fonte. Na maioria dos casos, ele inicia seus ataques explorando a CVE-2019-0604, uma vulnerabilidade crítica, mas com meia dúzia de anos, do Microsoft Sharepoint. “Portanto, é prevenível,” diz Shykevich. “Não é como se fosse um dia zero, ou alguma outra coisa onde não há meios de prevenir.”
