Detección del Ataque Manticore Vacío: Hackers Iraníes Lanzan Ataques Cibernéticos Destructivos contra Israel
Tabla de contenidos:
Los defensores han descubierto la creciente actividad maliciosa del grupo Void Manticore, vinculado al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Los adversarios, también conocidos como Storm-842, están detrás de una serie de ataques cibernéticos destructivos contra Israel. Void Manticore también es seguido bajo los sobrenombres de Homeland Justice y Karma, ampliando el alcance de sus intrusiones más allá de Israel.
Detectar Actividad de Void Manticore (alias Storm-842 o Karma)
Durante 2023-2024, la actividad de colectivos de hacking respaldados por naciones se intensificó significativamente, reflejando el impacto de las crecientes disputas geopolíticas regionales a nivel mundial. Con la rápida adopción de nuevos TTP y el creciente número de campañas maliciosas en curso, los profesionales de la seguridad buscan herramientas confiables para avanzar en sus rutinas de detección y búsqueda de amenazas.
La última campaña nefasta en el centro de atención involucra al APT Void Manticore, que ha estado apuntando continuamente a Israel y Albania para servir los intereses políticos de Irán. Para ayudar a los defensores cibernéticos a detectar actividad maliciosa relacionada en las etapas más tempranas del desarrollo del ataque, Plataforma SOC Prime para la defensa cibernética colectiva agrega un conjunto de reglas Sigma curadas dirigidas a los últimos ataques de Void Manticore, incluidos aquellos que utilizan BiBi wiper. Presiona el botón Explorar Detecciones a continuación y profundiza inmediatamente en la pila de detección.
Todas las reglas de detección son compatibles con más de 30 soluciones de SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK. Además, para agilizar la investigación de amenazas, los algoritmos están enriquecidos con amplia metadata, incluyendo enlaces CTI, referencias ATT&CK, recomendaciones de clasificación, y más.
Los profesionales de la seguridad que buscan contenido de detección adicional para analizar la actividad de Void Manticore retrospectivamente pueden navegar por el Mercado de Detección de Amenazas de SOC Prime usando las etiquetas “Void Manticore,” “Storm-842,” y “Karma”.
Análisis de Actividad de Void Manticore
Los colectivos de hackers patrocinados por el estado vinculados a Irán, como Agonizing Serpens, están planteando desafíos crecientes a los defensores, con las organizaciones israelíes entre sus objetivos principales. Otro colectivo respaldado por Irán rastreado como Void Manticore, alias Storm-842, llega al centro de atención. El colectivo de hackers ha estado involucrado en campañas notorias de eliminación junto con operaciones de influencia contra Israel. Operando bajo el seudónimo Homeland Justice, el grupo ha sido observado en ataques contra Albania, mientras que otra persona del grupo, Karma, ha sido vinculada a campañas adversarias contra Israel.
Investigadores de Check Point han estado rastreando de manera activa a APTs respaldadas por naciones que atacan instituciones israelíes aprovechando malware para borrar datos y ransomware desde mediados de otoño de 2023. Entre las amenazas patrocinadas por el estado mencionadas, Void Manticore representa un colectivo de hackers afiliado a Irán, famoso por lanzar ataques masivos y robar información sensible bajo el alias Karma. En Israel, los ataques del grupo se caracterizan por el uso del BiBi Wiper personalizado, nombrado en honor al Primer Ministro de Israel, Benjamin Netanyahu. Este último fue empleado en múltiples campañas dirigidas a un conjunto de organizaciones israelíes, con iteraciones tanto en Windows como en Linux.
El análisis profundo de los patrones de comportamiento de Void Manticore y los vertederos de datos revela una superposición significativa en los perfiles de las víctimas con Scarred Manticore (alias Storm-861), lo que indica una posible colaboración entre los dos grupos de hackers respaldados por la nación. Los TTP de Void Manticore son relativamente básicos y directos, confiando en métodos prácticos, principalmente utilizando utilidades de código abierto. Los adversarios a menudo se mueven lateralmente dentro de la red comprometida a través de RDP antes de la implementación de malware. En etapas posteriores del ataque, comúnmente despliegan su malware de borrado manualmente mientras realizan otras tareas de eliminación manual. Coordinar esfuerzos con el más avanzado grupo Scarred Manticore probablemente mejora la capacidad de Void Manticore para lanzar ataques de alto perfil. Notablemente, Storm-0861 se considera un subgrupo de APT34, otro grupo patrocinado por el estado iraní notable por desplegar el malware Shamoon y ZeroCleare .
Después de lograr un punto de apoyo exitoso, Void Manticore procede al despliegue de web shells, incluida una personalizada conocida como Karma Shell, disfrazada como una página de error. Los adversarios emplean malware de borrado personalizado en sus intrusiones. Algunos de estos borradores apuntan y destruyen archivos específicos o tipos de archivos dentro de los sistemas impactados, causando daños enfocados. Otros tipos de borradores atacan la tabla de particiones del sistema en lugar de eliminar datos selectivamente, eliminando esencialmente el mapa usado por el sistema operativo para localizar y acceder a los datos.
Además de aprovechar el malware de borrado de datos personalizado, el grupo apunta a las víctimas para la destrucción manual de datos usando utilidades aparentemente legítimas, como la Eliminación de Archivos a través de Windows Explore, SysInternals SDelete, y Windows Format Utility.
Las campañas de Void Manticore implican una estrategia de dos frentes, combinando la guerra psicológica con la destrucción tangible de datos. Logran esto mediante el uso de ataques nefastos de borrado de datos y la divulgación pública de información, intensificando así el impacto en los objetivos.
Con los crecientes riesgos de ataques destructivos atribuidos a Void Manticore y su tendencia a explotar efectivamente las disputas políticas, la actividad maliciosa del grupo representa una amenaza creciente para la comunidad global de defensores cibernéticos como parte de la escalada de actividad ofensiva de Irán contra Israel y Albania. Coordinar esfuerzos con Storm-0861 permite a Void Manticore alcanzar un rango más amplio de objetivos, lo que sitúa a este último como un actor extremadamente peligroso dentro del área de amenaza cibernética. SOC Prime equipa a los defensores con el conjunto completo de productos para Ingeniería de Detección impulsada por IA, Búsqueda de Amenazas Automatizada, y Validación de la Pila de Detección para facilitar la defensa cibernética proactiva contra los riesgos en continua escalada y remediar las amenazas emergentes en el menor tiempo posible.
