Void-Mantikore-Angriffserkennung: Iranische Hacker starten zerstörerische Cyberangriffe gegen Israel
Inhaltsverzeichnis:
Verteidiger haben die zunehmende bösartige Aktivität der Void Manticore-Gruppe aufgedeckt, die mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) in Verbindung steht. Die Gegner, auch bekannt als Storm-842, stehen hinter einer Reihe von destruktiven Cyberangriffen gegen Israel. Void Manticore wird auch unter den Namen Homeland Justice und Karma verfolgt und erweitert den Umfang seiner Einbrüche über Israel hinaus.
Void Manticore (alias Storm-842 oder Karma) Aktivität entdecken
Im Zeitraum 2023-2024 hat die Aktivität von staatlich unterstützten Hacker-Kollektiven erheblich zugenommen, was die Auswirkungen verstärkter geopolitischer regionaler Konflikte weltweit widerspiegelt. Mit der schnellen Einführung neuer TTPs und der wachsenden Anzahl laufender bösartiger Kampagnen suchen Sicherheitsexperten nach zuverlässigen Werkzeugen, um ihre Bedrohungserkennung und -jagd zu verbessern.
Die neueste bösartige Kampagne im Rampenlicht betrifft die Void Manticore APT, die kontinuierlich Israel und Albanien ins Visier nimmt, um die politischen Interessen des Iran zu fördern. Um Cyberverteidiger dabei zu unterstützen, bösartige Aktivitäten in den frühesten Stadien der Angriffsentwicklung zu erkennen, SOC Prime Plattform für kollektive Cyberverteidigung aggregiert eine Reihe kuratierter Sigma-Regeln, die sich mit den neuesten Void Manticore-Angriffen befassen, einschließlich derjenigen, die den BiBi Wiper nutzen. Drücken Sie die Schaltfläche ‚Detections erkunden‘ unten und tauchen Sie sofort in den Erkennungsstapel ein.
Alle Erkennungsregeln sind kompatibel mit über 30 SIEM-, EDR- und Data Lake-Lösungen und sind gemappt auf das MITRE ATT&CK-Framework. Zusätzlich werden Algorithmen, um die Bedrohungsanalyse zu verbessern, mit umfangreichen Metadaten angereichert, einschließlich CTI-Links, ATT&CK-Referenzen, Triage-Empfehlungen und mehr.
Sicherheitsexperten, die nach zusätzlichem Erkennungsinhalt suchen, um die Aktivität von Void Manticore rückblickend zu analysieren, können den SOC Prime Threat Detection Marketplace mithilfe der Tags „Void Manticore“, „Storm-842“ und „Karma“ durchsuchen.
Void Manticore-Aktivitätsanalyse
Iran-verbundene, staatlich gesponserte Hackerkollektive, wie Agonizing Serpens, stellen Verteidigern zunehmend Herausforderungen, wobei israelische Organisationen zu ihren Hauptzielen gehören. Ein weiteres vom iranischen Staat unterstütztes Kollektiv, das als Void Manticore, alias Storm-842, verfolgt wird, rückt ins Rampenlicht. Das Hacker-Kollektiv war an berüchtigten Löschkampagnen sowie an Einflussoperationen gegen Israel beteiligt. Unter dem Namen Homeland Justiceagierend, wurde die Gruppe bei Angriffen auf Albanien beobachtet, während eine andere Gruppenersönlichkeit, Karma, mit gegnerischen Kampagnen gegen Israel in Verbindung gebracht wurde.
Check Point-Forscher verfolgen seit Mitte Herbst 2023 aktiv staatlich unterstützte APTs, die israelische Institutionen mit das Lösch-Malware und Ransomware angreifen. Unter den genannten staatlich gesponserten Bedrohungen stellt Void Manticore ein mit dem Iran verbundenes Hacker-Kollektiv dar, das berüchtigt dafür ist, massive Angriffe durchzuführen und unter dem Namen Karma sensible Informationen zu stehlen. In Israel sind die Angriffe der Gruppe durch den Einsatz des individuellen BiBi Wipers gekennzeichnet, benannt nach dem israelischen Premierminister Benjamin Netanyahu. Letzterer wurde in mehreren Kampagnen gegen eine Reihe israelischer Organisationen eingesetzt, mit sowohl Windows- als auch Linux-basierten Iterationen.
Das tiefergehende Eintauchen in das Verhaltensmuster von Void Manticore und Datendumps enthüllt eine bedeutende Überschneidung der Opferprofile mit Scarred Manticore (alias Storm-861), was auf eine mögliche Zusammenarbeit zwischen den beiden vom Staat unterstützten Hackergruppen hinweist. Die TTPs von Void Manticore sind relativ einfach und direkt und basieren auf handbetonten Methoden, die meist Open-Source-Utilities nutzen. Gegner bewegen sich häufig seitlich innerhalb des kompromittierten Netzwerks über RDP, bevor sie Malware bereitstellen. In weiteren Angriffsphasen setzen sie manuell ihre Lösch-Malware ein und führen andere manuelle Löschaufgaben durch. Die Koordinierung der Bemühungen mit der fortgeschritteneren Scarred Manticore Gruppe verbessert voraussichtlich die Fähigkeit von Void Manticore, hochkarätige Angriffe zu starten. Bemerkenswerterweise wird Storm-0861 als Subcluster von APT34betrachtet, einer weiteren iranischen staatlich gesponserten Gruppe, die für den Einsatz der Shamoon- und ZeroCleare -Lösch-Malware bekannt ist.
Nach dem erfolgreichen Erlangen eines Fußes setzt Void Manticore Web-Shells ein, einschließlich einer individuellen, als Fehlerseite getarnten Shell namens Karma Shell. Gegner verwenden individuell angepasste Lösch-Malware bei ihren Eindringungsversuchen. Einige dieser Wiper zielen darauf ab, spezifische Dateien oder Dateitypen innerhalb der betroffenen Systeme zu zerstören, was gezielten Schaden verursacht. Andere Typen von Wipern attackieren die Partitionstabelle des Systems anstatt selektiv Daten zu löschen, was im wesentlichen die Karte entfernt, die das Betriebssystem verwendet, um Daten zu lokalisieren und zuzugreifen.
Neben dem Einsatz angepasster Datenlösch-Malware zielt die Gruppe auf Opfer ab, um manuelle Datenzerstörung mit scheinbar legitimen Utilities durchzuführen, wie die Dateilöschung via Windows Explorer, SysInternals SDelete und dem Windows Format Utility.
Die Kampagnen von Void Manticore beinhalten eine zweigleisige Strategie, die psychologische Kriegsführung mit greifbarer Datenzerstörung kombiniert. Sie erreichen dies durch den Einsatz bösartiger Datenlösch-Angriffe und die öffentliche Offenlegung von Informationen, wodurch die Auswirkungen auf die Ziele intensiviert werden.
Mit den wachsenden Risiken von destruktiven Angriffen, die Void Manticore zugeschrieben werden, und ihrer Tendenz, politische Konflikte effektiv auszunutzen, stellt die bösartige Aktivität der Gruppe eine zunehmende Gefahr für die globale Cyberverteidiger-Gemeinschaft dar, als Teil der zunehmenden offensiven Aktivitäten des Iran gegen Israel und Albanien. Die Koordinierung der Bemühungen mit Storm-0861 ermöglicht es Void Manticore, ein breiteres Spektrum von Zielen zu erreichen, was letzteren zu einem äußerst gefährlichen Akteur in der Cyberbedrohungsarena macht. SOC Prime bietet Verteidigern die vollständige Produktsuite für KI-gestützte Detection Engineering, automatisierte Bedrohungsjagd und Validierung von Erkennungsstapeln, um eine proaktive Cyberverteidigung gegen kontinuierlich eskalierende Risiken zu erleichtern und aufkommende Bedrohungen in kürzester Zeit zu beseitigen.
