SOC Prime Bias: Crítico

24 Jun 2026 15:55 UTC
newspaper icon picussecurity.com

Grupo de Ameaça Handala: Táticas, Alvos e Linha do Tempo de Ataques

Author Photo
SOC Prime Team linkedin icon Seguir
Grupo de Ameaça Handala: Táticas, Alvos e Linha do Tempo de Ataques
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Handala é um grupo hacktivista ligado ao Irã que realiza operações cibernéticas destrutivas. O grupo utiliza cadeias de ataque em múltiplas fases que combinam phishing, carregadores baseados em AutoIT e malware destruidor. Suas campanhas são principalmente direcionadas para causar interrupções e destruir dados em alvos de infraestrutura de Israel, EUA e da região.

Investigação

O relatório descreve a mudança do Handala de atividades hacktivistas tradicionais para operações mais avançadas e destrutivas. Examina o uso do grupo de técnicas BYOVD para escalonamento de privilégios e o seu lançamento de cargas destrutivas tanto em ambientes Windows quanto Linux. A análise técnica também cobre a atividade de comando e controle através do Telegram e os métodos de ofuscação incorporados em scripts de lote.

Mitigação

As organizações devem aplicar filtragem rigorosa de e-mails para bloquear anexos maliciosos e downloads suspeitos baseados em ZIP. Limitar o uso de drivers vulneráveis ou não autorizados pode reduzir o risco de abuso de BYOVD, enquanto monitorar a execução não autorizada de AutoIT pode ajudar a detectar atividades em estágio inicial. As defesas de endpoint também devem ser ajustadas para identificar substituições rápidas de arquivos e comportamentos de formatação de disco não autorizados.

Resposta

Se forem detectadas atividades relacionadas ao Handala, os hosts afetados devem ser isolados imediatamente para interromper a propagação do malware destruidor. Investigadores devem realizar análises de memória para identificar shellcode injetado e revisar sistemas quanto ao carregamento não autorizado de drivers. Os logs de e-mail também devem ser analisados para determinar o escopo da campanha de phishing, e quaisquer credenciais comprometidas devem ser rotacionadas sem demora.

"graph TB %% Class Definitions classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef privilege_escalation fill:#fbb,stroke:#333,stroke-width:2px classDef defense_evasion fill:#bfb,stroke:#333,stroke-width:2px classDef discovery fill:#fff4dd,stroke:#333,stroke-width:2px classDef command_and_control fill:#d4f1f9,stroke:#333,stroke-width:2px classDef impact fill:#ffcccb,stroke:#333,stroke-width:2px %% Initial Access Stage action_phishing["<b>Acao</b> – <b idea='T1566.001'>Phishing: Anexo de Spearphishing</b><br/><b>Descricao</b>: E-mails enganosos contendo<br/>anexos PDF maliciosos ou arquivos ZIP.<br/><b>Exemplos</b>: update.zip, F5UPDATER.EXE"] class action_phishing initial_access %% Execution Stage action_execution["<b>Acao</b> – <b idea='T1059'>Interpretador de Comando e Script</b><br/><b>Descricao</b>: Utilizando executáveis NSIS e<br/>scripts AutoIT compilados para carregar shellcode."] class action_execution execution %% Privilege Escalation Stage action_priv_esc["<b>Acao</b> – <b idea='T1068'>Explotacao para Escalacao de Privilegios</b><br/><b>Descricao</b>: Usando o mecanismo de Leve Seu Próprio Driver Vulnerável (BYOVD)<br/>para acessar a memória do kernel."] tool_vulnerable_driver["<b>Ferramenta</b> – <b idea='BYOVD'>ListOpenedFileDrv_32.sys</b><br/><b>Descricao</b>: Um driver usado para ganhar maiores<br/>níveis de controle sobre o sistema."] class action_priv_esc privilege_escalation class tool_vulnerable_driver privilege_escalation %% Defense Evasion Stage action_evasion["<b>Acao</b> – <b idea='T1027.016'>Arquivos ou Informações Ofuscados: Inserção de Código de Lixo</b><br/><b>Descricao</b>: Inserindo comandos inválidos de lixo em<br/>scripts de lote para confundir analistas."] class action_evasion defense_evasion %% Discovery Stage action_discovery["<b>Acao</b> – <b idea='T1082'>Descoberta de Informações do Sistema</b><br/><b>Descricao</b>: Coletando nomes de host, informações do domínio,<br/>e detalhes de usuários."] class action_discovery discovery %% Command and Control Stage action_cnc["<b>Acao</b> – <b idea='T1102.002'>Serviço Web: Telegram</b><br/><b>Descricao</b>: Utilizando canais do Telegram com IDs de Bot e Channel embarcados<br/>para comunicação."] class action_cnc command_and_control %% Impact Stage action_impact["<b>Acao</b> – <b idea='T1561.001'>Wipe de Disco: Apagamento de Conteúdo do Disco</b><br/><b>Descricao</b>: Sobrescrevendo agressivamente arquivos-alvo<br/>com blocos de 4096 bytes aleatorizados ou zeros."] class action_impact impact %% Connections action_phishing –>|leads_to| action_execution action_execution –>|triggers| action_priv_esc action_priv_esc –>|utilizes| tool_vulnerable_driver action_execution –>|employs| action_evasion action_execution –>|performs| action_discovery action_discovery –>|establishes| action_cnc action_cnc –>|facilitates| action_impact "

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Preliminar de Telemetria e Linha de Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a erros de diagnóstico.

  • Narrativa e Comandos do Ataque: O atacante entregou com sucesso um instalador malicioso NSIS via um anexo de spearphishing. Após a execução, o motor NSIS é usado para executar um shell de comando oculto. O objetivo é soltar um script secundário (Carroll.cmd) no diretório de trabalho e executá-lo imediatamente sem interação do usuário. Para não chamar a atenção, o atacante usa SW_HIDE para evitar que uma janela de prompt de comando apareça na área de trabalho do usuário. Esta técnica utiliza software instalador legítimo para executar comandos arbitrários.

  • Script de Teste de Regressão:

    # Script de Simulação: Imitando a execução da linha de comando NSIS
# Nota: Como estamos simulando a 'linha de comando' capturada pela regra, 
# vamos acionar uma criação de processo que imite a string específica detectada.

$MaliciousCommand = 'ExecShell open cmd "/k copy Carroll Carroll.cmd & Carroll.cmd & exit" SW_HIDE'

# Para simular a criação precisa do processo NSIS, chamamos cmd.exe 
# com a string como argumento para garantir que ela apareça na telemetria da linha de comando.
Start-Process "cmd.exe" -ArgumentList "/c echo $MaliciousCommand"

Write-Host "Comando de simulação executado. Verifique SIEM para: $MaliciousCommand"

  • Comandos de Limpeza:

    # Remova quaisquer arquivos criados durante a simulação
Remove-Item -Path "$env:TEMPCarroll.cmd" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPCarroll" -ErrorAction SilentlyContinue

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente