Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Handala es un grupo hacktivista vinculado a Irán que lleva a cabo operaciones cibernéticas destructivas. El grupo utiliza cadenas de ataque con múltiples etapas que combinan phishing, cargadores basados en AutoIT y malware de borrado. Sus campañas están dirigidas principalmente a causar interrupciones y destruir datos en objetivos de infraestructura israelíes, estadounidenses y regionales.
Investigación
El informe describe el cambio de Handala de la actividad hacktivista tradicional hacia operaciones destructivas más avanzadas. Examina el uso por parte del grupo de técnicas BYOVD para la escalada de privilegios y su despliegue de cargas de borrado tanto en entornos Windows como Linux. El análisis técnico también cubre la actividad de comando y control a través de Telegram y los métodos de ofuscación incrustados en scripts de lotes.
Mitigación
Las organizaciones deben aplicar filtros estrictos de correo electrónico para bloquear adjuntos maliciosos y descargas sospechosas basadas en ZIP. Limitar el uso de controladores vulnerables o no autorizados puede reducir el riesgo de abuso de BYOVD, mientras que monitorear la ejecución no autorizada de AutoIT puede ayudar a detectar la actividad en fases tempranas. Las defensas en el endpoint también deben ajustarse para identificar sobrescrituras rápidas de archivos y comportamientos no autorizados de formateo de discos.
Respuesta
Si se detecta actividad relacionada con Handala, los hosts afectados deben aislarse inmediatamente para detener la propagación del malware de borrado. Los investigadores deben realizar forense de memoria para identificar shellcode inyectado y revisar los sistemas para cargas de controladores no autorizados. También se deben analizar los registros de correos electrónicos para determinar el alcance de la campaña de phishing, y cualquier credencial comprometida debe rotarse sin demora.
"graph TB %% Class Definitions classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef privilege_escalation fill:#fbb,stroke:#333,stroke-width:2px classDef defense_evasion fill:#bfb,stroke:#333,stroke-width:2px classDef discovery fill:#fff4dd,stroke:#333,stroke-width:2px classDef command_and_control fill:#d4f1f9,stroke:#333,stroke-width:2px classDef impact fill:#ffcccb,stroke:#333,stroke-width:2px %% Initial Access Stage action_phishing["<b>Action</b> – <b idea='T1566.001'>Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Deceptive emails containing<br/>malicious PDF attachments or ZIP archives.<br/><b>Examples</b>: update.zip, F5UPDATER.EXE"] class action_phishing initial_access %% Execution Stage action_execution["<b>Action</b> – <b idea='T1059'>Command and Scripting Interpreter</b><br/><b>Description</b>: Utilizing NSIS executables and<br/>compiled AutoIT scripts to load shellcode."] class action_execution execution %% Privilege Escalation Stage action_priv_esc["<b>Action</b> – <b idea='T1068'>Exploitation for Privilege Escalation</b><br/><b>Description</b>: Using Bring Your Own Vulnerable Driver (BYOVD)<br/>mechanism to access kernel memory."] tool_vulnerable_driver["<b>Tool</b> – <b idea='BYOVD'>ListOpenedFileDrv_32.sys</b><br/><b>Description</b>: A driver used to gain higher<br/>levels of control over the system."] class action_priv_esc privilege_escalation class tool_vulnerable_driver privilege_escalation %% Defense Evasion Stage action_evasion["<b>Action</b> – <b idea='T1027.016'>Obfuscated Files or Information: Junk Code Insertion</b><br/><b>Description</b>: Inserting invalid garbage commands into<br/>batch scripts to confuse analysts."] class action_evasion defense_evasion %% Discovery Stage action_discovery["<b>Action</b> – <b idea='T1082'>System Information Discovery</b><br/><b>Description</b>: Collecting hostnames, domain information,<br/>and user details."] class action_discovery discovery %% Command and Control Stage action_cnc["<b>Action</b> – <b idea='T1102.002'>Web Service: Telegram</b><br/><b>Description</b>: Using Telegram channels with hardcoded<br/>Bot and Channel IDs for communication."] class action_cnc command_and_control %% Impact Stage action_impact["<b>Action</b> – <b idea='T1561.001'>Disk Wipe: Disk Content Wipe</b><br/><b>Description</b>: Aggressively overwriting target files<br/>with randomized 4096-byte blocks or zeroes."] class action_impact impact %% Connections action_phishing –>|leads_to| action_execution action_execution –>|triggers| action_priv_esc action_priv_esc –>|utilizes| tool_vulnerable_driver action_execution –>|employs| action_evasion action_execution –>|performs| action_discovery action_discovery –>|establishes| action_cnc action_cnc –>|facilitates| action_impact "
Flujo de Ataque
Detecciones
Descargar o subir a través de Powershell (via cmdline)
Ver
Posible uso de PING para ejecución con retraso (via cmdline)
Ver
Carga/Descarga de Archivos Remotos vía Herramientas Estándar (via cmdline)
Ver
Detectar Ejecución de Comando Malicioso de Ejecutable NSIS [Creación de Proceso de Windows]
Ver
Detección de Destrucción de Partición Linux del Malware Wiper de Handala [Creación de Proceso en Linux]
Ver
Destrucción de Archivos del Malware Wiper de Handala [Evento de Archivo en Windows]
Ver
Ejecución de Simulación
Requisito previo: La verificación de telemetría y línea de base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y buscar generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: El atacante ha entregado exitosamente un instalador malicioso de NSIS a través de un adjunto de spearphishing. Al ejecutarse, el motor NSIS se utiliza para ejecutar una shell de comando oculta. El objetivo es dejar caer un script secundario (
Carroll.cmd) en el directorio de trabajo y ejecutarlo inmediatamente sin interacción del usuario. Para permanecer sin ser detectado, el atacante utilizaSW_HIDEpara evitar que una ventana del símbolo del sistema aparezca en el escritorio del usuario. Esta técnica utiliza software instalador legítimo para ejecutar comandos arbitrarios. -
Script de Prueba de Regresión:
# Script de simulación: Imitando la ejecución de línea de comando NSIS # Nota: Puesto que estamos simulando la 'línea de comando' capturada por la regla, # activaremos una creación de proceso que imite la cadena específica detectada. $MaliciousCommand = 'ExecShell open cmd "/k copy Carroll Carroll.cmd & Carroll.cmd & exit" SW_HIDE' # Para simular la creación del proceso NSIS con precisión, llamamos a cmd.exe # con la cadena como argumento para asegurar que aparece en la telemetría de la línea de comando. Start-Process "cmd.exe" -ArgumentList "/c echo $MaliciousCommand" Write-Host "Comando de simulación ejecutado. Verificar SIEM para: $MaliciousCommand" -
Comandos de Limpieza:
# Eliminar cualquier archivo creado durante la simulación Remove-Item -Path "$env:TEMPCarroll.cmd" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPCarroll" -ErrorAction SilentlyContinue