Rilevamento dell’attacco Void Manticore: hacker iraniani lanciano attacchi informatici distruttivi contro Israele
Indice:
I difensori hanno scoperto l’aumento dell’attività malevola del gruppo Void Manticore collegato al Ministero dell’Intelligence e della Sicurezza (MOIS) dell’Iran. Gli avversari, noti anche come Storm-842, sono responsabili di una serie di attacchi informatici distruttivi contro Israele. Void Manticore è anche monitorato sotto i nomi di Homeland Justice e Karma, espandendo il suo raggio di intrusione oltre Israele.
Rileva l’attività di Void Manticore (alias Storm-842 o Karma)
Durante il periodo 2023-2024, l’attività dei collettivi di hacking sponsorizzati da nazioni è aumentata significativamente, riflettendo l’impatto delle crescenti dispute geopolitiche regionali a livello globale. Con l’adozione rapida dei nuovi TTP e l’aumento del numero delle campagne malevole in corso, i professionisti della sicurezza cercano strumenti affidabili per migliorare le loro routine di rilevamento e caccia alle minacce.
L’ultima campagna nefasta sotto i riflettori coinvolge l’APT Void Manticore, che ha continuato a prendere di mira Israele e Albania per servire gli interessi politici dell’Iran. Per aiutare i difensori informatici a individuare l’attività malevola correlata nelle prime fasi dello sviluppo dell’attacco, piattaforma SOC Prime per la difesa informatica collettiva aggrega un insieme di regole Sigma curate che affrontano gli ultimi attacchi di Void Manticore, inclusi quelli che sfruttano il wiper BiBi. Fai clic sul pulsante Esplora Rilevamenti qui sotto e immergiti subito nella pila di rilevamento.
Tutte le regole di rilevamento sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK. Inoltre, per semplificare l’indagine sulle minacce, gli algoritmi sono arricchiti con ampi metadati, inclusi link CTI, riferimenti ATT&CK, raccomandazioni per il triage e altro ancora.
I professionisti della sicurezza che cercano contenuti di rilevamento aggiuntivi per analizzare l’attività di Void Manticore in modo retrospettivo possono navigare nel Threat Detection Marketplace di SOC Prime utilizzando i tag “Void Manticore,” “Storm-842,” e “Karma”.
Analisi delle attività di Void Manticore
I collettivi di hacking sponsorizzati dallo stato e legati all’Iran, come Agonizing Serpens, stanno posando crescenti sfide ai difensori, con le organizzazioni israeliane tra i loro obiettivi principali. Un altro collettivo sponsorizzato dall’Iran tracciato come Void Manticore, noto anche come Storm-842, è al centro dell’attenzione. Il collettivo di hacking è stato coinvolto in famose campagne di wiping insieme a operazioni di influenza contro Israele. Operando sotto il nome di Homeland Justice, il gruppo è stato osservato in attacchi contro l’Albania, mentre un’altra persona del gruppo è stata collegata a campagne avversarie contro Israele. Karma, has been linked to adversary campaigns against Israel.
I ricercatori di Check Point hanno monitorato attivamente gli APT sponsorizzati dalle nazioni che attaccano le istituzioni israeliane sfruttando malware di wiping dati e ransomware dalla metà dell’autunno 2023. Tra le minacce sponsorizzate dallo stato menzionate, Void Manticore rappresenta un collettivo di hacking affiliato all’Iran noto per lanciare attacchi massicci e rubare informazioni sensibili sotto il nome di Karma. In Israele, gli attacchi del gruppo sono caratterizzati dall’uso del custom BiBi Wiper, nome ispirato al Primo Ministro israeliano Benjamin Netanyahu. Quest’ultimo è stato utilizzato in molte campagne che prendono di mira una serie di organizzazioni israeliane, con iterazioni sia per Windows che per Linux.
L’immersione profonda nei modelli comportamentali di Void Manticore e nei dump di dati rivela una significativa sovrapposizione nei profili delle vittime con Scarred Manticore (noto anche come Storm-861), il che indica una possibile collaborazione tra i due gruppi di hacking sponsorizzati dalle nazioni. I TTP di Void Manticore sono relativamente basilari e semplici, basandosi su metodi pratici, principalmente utilizzando utility open-source. Gli avversari si spostano frequentemente lateralmente all’interno della rete compromessa tramite RDP prima del dispiegamento del malware. Nelle ulteriori fasi dell’attacco, di solito distribuiscono manualmente il loro malware di wiping mentre conducono altre attività di cancellazione manuale. Coordinare gli sforzi con il gruppo Scarred Manticore più avanzato probabilmente migliora la capacità di Void Manticore di lanciare attacchi di alto profilo. Notoriamente, Storm-0861 è considerato un sottogruppo di APT34, un altro gruppo sponsorizzato dallo stato iraniano noto per il deployment del malware wiper Shamoon e ZeroCleare .
Dopo aver ottenuto un accesso stabile, Void Manticore procede al dispiegamento di web shell, inclusa una shell custom nota come Karma Shell, mascherata da pagina di errore. Gli avversari impiegano malware di wiping custom nelle loro intrusioni. Alcuni di questi wiper prendono di mira e distruggono file specifici o tipi di file all’interno dei sistemi colpiti, causando danni mirati. Altri tipi di wiper attaccano il tavolo delle partizioni del sistema anziché cancellare selettivamente i dati, essenzialmente rimuovendo la mappa utilizzata dal sistema operativo per localizzare e accedere ai dati.
Oltre a sfruttare il malware di wiping dei dati custom, il gruppo prende di mira le vittime per la distruzione manuale dei dati utilizzando utility apparentemente legittime, come la Cancellazione File tramite Windows Explore, SysInternals SDelete e Windows Format Utility.
Le campagne di Void Manticore coinvolgono una strategia a doppio binario, mescolando la guerra psicologica con la distruzione tangibile dei dati. Raggiungono questo obiettivo impiegando attacchi di wiping dei dati nefasti e divulgando pubblicamente informazioni, intensificando così l’impatto sugli obiettivi.
Con i crescenti rischi degli attacchi distruttivi attribuiti a Void Manticore e la loro tendenza a sfruttare efficacemente le dispute politiche, l’attività malevola del gruppo rappresenta una minaccia crescente per la comunità globale dei difensori informatici come parte dell’attività offensiva in aumento dell’Iran contro Israele e Albania. Coordinare gli sforzi con Storm-0861 consente a Void Manticore di raggiungere una gamma più ampia di bersagli, il che ne fa un attore estremamente pericoloso nel panorama delle minacce informatiche. SOC Prime fornisce ai difensori l’intera suite di prodotti per Rilevamento basato su IA, ricerca automatica delle minacce e convalida della pila di rilevamento per facilitare la difesa informatica proattiva contro rischi in continuo aumento e porre rimedio alle minacce emergenti nel minor tempo possibile. for AI-powered Detection Engineering, Automated Threat Hunting, and Detection Stack Validation to facilitate proactive cyber defense against continuously escalating risks and remediate emerging threats in the least time possible.
