Иранский угрожающий субъект, связанный с Министерством разведки и безопасности (MOIS), был приписан за деструктивными атаками по уничтожению, нацеленными на Албанию и Израиль, под личинами Homeland Justice и Karma соответственно.
Фирма по кибербезопасности Check Point отслеживает активность под псевдонимом Void Manticore, который также известен Microsoft как Storm-0842 (ранее DEV-0842).
"Существуют явные совпадения между целями Void Manticore и Scarred Manticore, с признаками систематической передачи целей между этими двумя группами при принятии решения о проведении деструктивных действий против существующих жертв Scarred Manticore", - говорится в опубликованном сегодня отчете компании.
The threat actor известна своими разрушительными кибератаками против Албании с июля 2022 года под названием Homeland Justice, которые включают использование специально созданных вредоносных программ wiper под названием Cl Wiper и No-Justice (также известных как LowEraser).
Аналогичные атаки вредоносного ПО wiper также были нацелены на системы Windows и Linux в Израиле после войны между Израилем и ХАМАС после октября 2023 года с использованием другого клиента wiper под кодовым названием БиБи. Промамасовская хактивистская группа известна под названием Karma.
Организованные группой цепочки атак "просты", как правило, с использованием общедоступных инструментов и протокола удаленного рабочего стола (RDP), серверного блока сообщений (SMB) и протокола передачи файлов (FTP) для горизонтального перемещения перед внедрением вредоносного ПО.
Первоначальный доступ в некоторых случаях осуществляется путем использования известных недостатков безопасности в интернет-приложениях (например, CVE-2019-0604), согласно рекомендации, опубликованной Агентством кибербезопасности и инфраструктурной безопасности США (CISA) в сентябре 2022 года.
За успешным закреплением следует развертывание веб-оболочек, включая самодельную под названием Karma Shell, которая маскируется под страницу с ошибкой, но способна перечислять каталоги, создавать процессы, загружать файлы и запускать / останавливать / перечислять службы.
Void Manticore подозревается в использовании доступа, ранее полученного Scarred Manticore (он же Storm-0861), для осуществления собственных вторжений, подчеркивая процедуру "передачи" между двумя участниками угрозы.
Эта высокая степень сотрудничества ранее также подчеркивалась Microsoft в своем собственном расследовании атак на правительства Албании в 2022 году, отмечая, что в нем участвовали несколько иранских субъектов и что они были ответственны за отдельные этапы -
"Совпадения в методах, используемых при атаках на Израиль и Албанию, включая координацию между двумя различными участниками, предполагают, что этот процесс стал рутинным", - заявили в Check Point.
"Операции Void Manticore характеризуются двойным подходом, сочетающим психологическую войну с фактическим уничтожением данных. Это достигается за счет использования ими атак со стиранием данных и публичной утечки информации, тем самым усиливая ущерб, наносимый целевым организациям."
Фирма по кибербезопасности Check Point отслеживает активность под псевдонимом Void Manticore, который также известен Microsoft как Storm-0842 (ранее DEV-0842).
"Существуют явные совпадения между целями Void Manticore и Scarred Manticore, с признаками систематической передачи целей между этими двумя группами при принятии решения о проведении деструктивных действий против существующих жертв Scarred Manticore", - говорится в опубликованном сегодня отчете компании.
The threat actor известна своими разрушительными кибератаками против Албании с июля 2022 года под названием Homeland Justice, которые включают использование специально созданных вредоносных программ wiper под названием Cl Wiper и No-Justice (также известных как LowEraser).
Аналогичные атаки вредоносного ПО wiper также были нацелены на системы Windows и Linux в Израиле после войны между Израилем и ХАМАС после октября 2023 года с использованием другого клиента wiper под кодовым названием БиБи. Промамасовская хактивистская группа известна под названием Karma.
Организованные группой цепочки атак "просты", как правило, с использованием общедоступных инструментов и протокола удаленного рабочего стола (RDP), серверного блока сообщений (SMB) и протокола передачи файлов (FTP) для горизонтального перемещения перед внедрением вредоносного ПО.
Первоначальный доступ в некоторых случаях осуществляется путем использования известных недостатков безопасности в интернет-приложениях (например, CVE-2019-0604), согласно рекомендации, опубликованной Агентством кибербезопасности и инфраструктурной безопасности США (CISA) в сентябре 2022 года.
За успешным закреплением следует развертывание веб-оболочек, включая самодельную под названием Karma Shell, которая маскируется под страницу с ошибкой, но способна перечислять каталоги, создавать процессы, загружать файлы и запускать / останавливать / перечислять службы.
Void Manticore подозревается в использовании доступа, ранее полученного Scarred Manticore (он же Storm-0861), для осуществления собственных вторжений, подчеркивая процедуру "передачи" между двумя участниками угрозы.
Эта высокая степень сотрудничества ранее также подчеркивалась Microsoft в своем собственном расследовании атак на правительства Албании в 2022 году, отмечая, что в нем участвовали несколько иранских субъектов и что они были ответственны за отдельные этапы -
- Storm-0861 получил первоначальный доступ и отфильтровал данные
- Storm-0842 внедрил программы-вымогатели и вредоносное ПО wiper
- Storm-0166 отфильтровал данные
- Storm-0133 исследовал инфраструктуру жертв
"Совпадения в методах, используемых при атаках на Израиль и Албанию, включая координацию между двумя различными участниками, предполагают, что этот процесс стал рутинным", - заявили в Check Point.
"Операции Void Manticore характеризуются двойным подходом, сочетающим психологическую войну с фактическим уничтожением данных. Это достигается за счет использования ими атак со стиранием данных и публичной утечки информации, тем самым усиливая ущерб, наносимый целевым организациям."
