Détection de l’attaque Void Manticore : des hackers iraniens lancent des cyberattaques destructrices contre Israël
Table des matières :
Les défenseurs ont découvert l’activité malveillante croissante du groupe Void Manticore lié au ministère du Renseignement et de la Sécurité de l’Iran (MOIS). Les adversaires, également connus sous le nom de Storm-842, sont à l’origine d’une série de cyberattaques destructrices contre Israël. Void Manticore est également suivi sous les pseudonymes Homeland Justice et Karma, étendant la portée de ses intrusions au-delà d’Israël.
Détecter l’activité de Void Manticore (alias Storm-842 ou Karma)
Pendant 2023-2024, l’activité des collectifs de piratage soutenus par des nations a considérablement augmenté, reflétant l’impact des conflits géopolitiques régionaux croissants à l’échelle mondiale. Avec l’adoption rapide des nouvelles TTP et le nombre croissant de campagnes malveillantes en cours, les professionnels de la sécurité recherchent des outils fiables pour améliorer leurs routines de détection et de chasse aux menaces.
La dernière campagne néfaste sous les projecteurs implique l’APT Void Manticore, qui cible continuellement Israël et l’Albanie pour servir les intérêts politiques de l’Iran. Pour aider les cyber-défenseurs à repérer dès les premières étapes de développement de l’attaque l’activité malveillante associée, Plateforme SOC Prime pour la défense cyber collective agrège un ensemble de règles Sigma soigneusement sélectionnées traitant des dernières attaques de Void Manticore, y compris celles exploitant le wiper BiBi. Cliquez sur le bouton Explorer les Détections ci-dessous et plongez directement dans la pile de détections.
Toutes les règles de détection sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK. De plus, pour rationaliser l’enquête sur les menaces, les algorithmes sont enrichis de métadonnées étendues, y compris des liens CTI, des références ATT&CK, des recommandations de triage, et plus encore.
Les professionnels de la sécurité à la recherche de contenu de détection supplémentaire pour analyser rétrospectivement l’activité de Void Manticore peuvent parcourir le Marché de Détection de Menaces de SOC Prime en utilisant les balises “Void Manticore,” “Storm-842,” et “Karma”.
Analyse de l’activité de Void Manticore
Les collectifs de piratage sponsorisés par l’État et liés à l’Iran, comme Agonizing Serpens, posent des défis croissants pour les défenseurs, les organisations israéliennes étant parmi leurs principales cibles. Un autre collectif soutenu par l’Iran, suivi sous le nom de Void Manticore, alias Storm-842, attire l’attention. Le collectif a été impliqué dans des campagnes de destruction notoires ainsi que dans des opérations d’influence contre Israël. Opérant sous le pseudonyme Homeland Justice, le groupe a été observé dans des attaques contre l’Albanie, tandis que le persona d’un autre groupe, Karma, a été lié à des campagnes adverses contre Israël.
Les recherches de Check Point ont activement suivi les APT soutenues par des nations attaquant les institutions israéliennes en utilisant des malwares destructeurs de données et des ransomwares depuis le milieu de l’automne 2023. Parmi les menaces mentionnées parrainées par l’État, Void Manticore représente un collectif de piratage affilié à l’Iran, connu pour lancer des attaques massives et voler des informations sensibles sous le pseudonyme Karma. En Israël, les attaques du groupe se caractérisent par l’utilisation du BiBi Wiper personnalisé, nommé d’après le Premier ministre israélien Benjamin Netanyahu. Ce dernier a été utilisé dans plusieurs campagnes ciblant un ensemble d’organisations israéliennes, avec des itérations basées à la fois sur Windows et Linux.
L’exploration approfondie des schémas comportementaux de Void Manticore et des dépôts de données révèle un chevauchement significatif des profils de victimes avec Scarred Manticore (alias Storm-861), ce qui indique une possible collaboration entre les deux groupes de piratage soutenus par des nations. Les TTP de Void Manticore sont relativement basiques et simples, reposant sur des méthodes pratiques, utilisant principalement des utilitaires open-source. Les adversaires se déplacent fréquemment latéralement dans le réseau compromis via RDP avant le déploiement de logiciels malveillants. Dans les étapes ultérieures de l’attaque, ils déploient souvent manuellement leur logiciel malveillant destructeur tout en effectuant d’autres tâches de suppression manuelle. La coordination des efforts avec le groupe plus avancé Scarred Manticore améliore probablement la capacité de Void Manticore à lancer des attaques de haut niveau. Notamment, Storm-0861 est considéré comme un sous-cluster de APT34, un autre groupe sponsorisé par l’État iranien, notable pour le déploiement des malwares destructeurs Shamoon et ZeroCleare .
Après avoir réussi à prendre pied, Void Manticore procède au déploiement de web shells, y compris un personnalisé connu sous le nom de Karma Shell, déguisé en page d’erreur. Les adversaires emploient des logiciels malveillants destructeurs personnalisés dans leurs intrusions. Certains de ces destructeurs ciblent et détruisent des fichiers ou types de fichiers spécifiques au sein des systèmes touchés, causant des dommages ciblés. D’autres types de destructeurs attaquent la table des partitions du système au lieu de supprimer des données de manière sélective, supprimant essentiellement la carte utilisée par le système d’exploitation pour localiser et accéder aux données.
Outre l’utilisation de logiciels malveillants destructeurs de données personnalisés, le groupe cible les victimes pour une destruction manuelle des données en utilisant des utilitaires apparemment légitimes, tels que la suppression de fichiers via Windows Explore, SysInternals SDelete et l’utilitaire de formatage Windows.
Les campagnes de Void Manticore impliquent une stratégie à double volet, mêlant guerre psychologique et destruction tangible des données. Ils y parviennent en employant des attaques destructrices de données et en divulguant publiquement des informations, intensifiant ainsi l’impact sur les cibles.
Avec les risques croissants d’attaques destructrices attribuées à Void Manticore et leur tendance à exploiter efficacement les conflits politiques, l’activité malveillante du groupe représente une menace croissante pour la communauté mondiale des défenseurs cyber en tant qu’élément de l’activité offensive croissante de l’Iran contre Israël et l’Albanie. La coordination des efforts avec Storm-0861 permet à Void Manticore d’atteindre une gamme plus large de cibles, ce qui fait de celui-ci un acteur extrêmement dangereux dans le domaine des menaces cybernétiques. SOC Prime équipe les défenseurs avec la suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la validation des piles de détection pour faciliter une défense proactive contre les risques toujours croissants et remédier aux menaces émergentes dans le temps le plus court possible.
