Мир кибербезопасности встревожен новыми разрушительными атаками, которые направлены на Израиль и Албанию. За атаками стоит иранская группа, связанная с Министерством разведки и безопасности Ирана (MOIS). Специалисты Check Point Research пролили свет на тактику иранских хакеров.
Группировка, получившая название Void Manticore (Storm-0842), использует различные псевдонимы для своих операций в разных странах. Наиболее известные из них – Homeland Justice для атак в Албании и Karma – для операций против Израиля.
Void Manticore нацеливается на разные регионы, применяя уникальные подходы для каждой цели. Действия группы перекрываются с действиями другой иранской группировки Scarred Manticore, что свидетельствует о координации и систематическом выборе жертв в рамках работы на Министерством разведки и безопасности Ирана (MOIS).
Специалисты Check Point предупреждают, что Void Manticore представляет значительную угрозу “для всех, кто противостоит иранским интересам”. Группировка использует сложную сеть псевдонимов, стратегическое сотрудничество и сложные методологии атак.
Группировка известна своим двойным подходом к кибератакам, сочетая физическое уничтожение данных с психологическим давлением. Используя 5 различных методов, включая кастомные вайперы для Windows и Linux, Void Manticore нарушает работу систем через удаление файлов и манипуляцию с общими дисками.
Специализация на разрушительной фазе
Исследователи проанализировали систематическую передачу целей между двумя кибергруппировками. Scarred Manticore отвечает за начальный доступ и извлечение данных из целевых сетей, после чего передает контроль Void Manticore для выполнения “разрушительной фазы операции”. Такое сотрудничество значительно увеличивает масштаб и влияние атак.
Перекрытия в действиях были замечены в атаках на Израиль в 2023-2024 годах и на Албанию в 2022 году.
Простые, но эффективные тактики
Атаки Void Manticore отличаются своей простотой и прямолинейностью. Обычно используются общедоступные инструменты и протоколы, такие как Remote Desktop Protocol (RDP), Server Message Block (SMB) и File Transfer Protocol (FTP) для перемещения внутри сети перед развертыванием вредоносного ПО. В некоторых случаях первоначальный доступ достигается за счёт эксплуатации уязвимости CVE-2019-0604 в Microsoft SharePoint.
Попав внутрь, хакеры внедряют вайперы Cl Wiper и No-Justice (LowEraser) для систем Windows и Linux. Некоторые из вайперов нацелены на конкретные файлы, типы файлов или приложения для избирательного удаления критической информации (Cl Wiper), в то время как другие повреждают таблицу разделов системы, делая данные недоступными (No-Justice). Некоторые данные группа удаляет вручную, что еще больше усиливает эффект атак.
CI Wiper впервые был применен в атаке на Албанию в июле 2022 года вместе с LowEraser, который использовался в атаках на Албанию и Израиль. В последних атаках также использовался BiBi Wiper, который существует в версиях для Linux и Windows, применяя сложные техники для повреждения файлов и нарушения работы системы.
Атаки Void Manticore свидетельствуют о высоком уровне угрозы для стран, противостоящих иранским интересам. Исследователи продолжают следить за деятельностью группировок, чтобы минимизировать последствия их разрушительных действий.