Iranski hakeri povezan sa Ministarstvom obavještajnih poslova i sigurnosti (MOIS) pripisuje se da stoji iza destruktivnih napada na Albaniju i Izrael pod osobama Homeland Justice i Karma.
Firma za cyber sigurnost Check Point prati aktivnost pod imenom Void Manticore , koji je takođe poznat kao Storm-0842 (ranije DEV-0842) od strane Microsofta.
“Postoje jasna preklapanja između meta Void Manticore i Scarred Manticore , sa indikacijama o sistematskom uklanjanju meta između te dvije grupe kada se odluči da provode destruktivne aktivnosti protiv postojećih žrtava Scarred Manticore”, navodi kompanija u izvještaju objavljenom danas.
Haker poznat je po svojim remetilačkim cyber napadima na Albaniju od jula 2022. godine pod nazivom Homeland Justice koji uključuju korištenje prilagođenog malvera za brisanje pod nazivom Cl Wiper i No-Justice (poznat i kao LowEraser).
Slični napadi malvera pomoću wiper-a takođe su ciljali Windows i Linux sisteme u Izraelu nakon rata između Izraela i Hamasa nakon oktobra 2023. koristeći još jedan brisač kodnog imena BiBi . Pro-Hamasova haktivistička grupa nosi ime Karma.
Lanci napada koje je orkestrirala grupa su “jednostavni i jednostavni”, obično koriste javno dostupne alate i koriste Remote Desktop Protocol (RDP), Server Message Block (SMB) i File Transfer Protocol (FTP) za bočno kretanje prije implementacije zlonamjernog softvera .
Početni pristup se u nekim slučajevima postiže iskorištavanjem poznatih sigurnosnih propusta u aplikacijama koje se nalaze na internetu (npr. CVE-2019-0604 ), prema savjetu koji je objavila Američka agencija za cyber sigurnost i infrastrukturnu sigurnost (CISA) u septembru 2022.
Uspješno uporište je praćeno implementacijom web shell-a, uključujući i onu domaću pod nazivom Karma Shell koja se maskira kao stranica s greškom, ali je sposobna nabrajati direktorije, kreirati procese, učitavati datoteke i pokretati/zaustavljati/listirati usluge.
Void Manticore se sumnjiči da je koristio pristup koji je prethodno dobio Scarred Manticore (aka Storm-0861) za izvođenje vlastitih upada, naglašavajući proceduru “handoff” između dva hakera.
Ovaj visok stepen saradnje prethodno je istakao i Microsoft u sopstvenoj istrazi o napadima usmjerenim na albanske vlade 2022. godine, napominjući da je u njoj učestvovalo više iranskih hakera i da su oni odgovorni za različite faze:
- Oluja-0861 je dobila početni pristup i eksfiltrirala podatke
- Storm-0842 je postavio ransomware i wiper malver
- Oluja-0166 eksfiltrirala podatke
- Oluja-0133 ispitala je infrastrukturu žrtava
Takođe je vrijedno istaći da se Storm-0861 procjenjuje kao podređeni element unutar APT34 (aka Cobalt Gypsy, Hazel Sandstorm, Helix Kitten i OilRig), grupe iranske nacionalne države poznate po zlonamjernom softveru Shamoon i ZeroCleare wiper.
Izvor:The Hacker News