ボイドマンティコア攻撃検知：イランのハッカーがイスラエルに対し破壊的なサイバー攻撃を開始

防御者たちは、イランの情報・治安省（MOIS）に関連するVoid Manticoreグループの増加する悪意のある活動を発見しました。このグループはStorm-842とも呼ばれ、イスラエルに対する一連の破壊的なサイバー攻撃の背後にいる存在です。Void Manticoreはまた、Homeland JusticeやKarmaという別名でも追跡されており、侵入の範囲をイスラエル以外に拡大しています。

Void Manticore（別名 Storm-842 または Karma）の活動を検出

2023-2024年の間、国家支援を受けたハッキング集団の活動は大幅にエスカレートしました。これは世界的に地政学的な地域紛争が激化している影響を反映しています。新しいTTPの急速な採用と進行中の悪意のあるキャンペーンの増加に伴い、セキュリティ専門家は脅威の検出と追跡を強化するための信頼できるツールを求めています。

注目を浴びている最新の悪質なキャンペーンは、Void Manticore APTに関連しており、このグループはイランの政治的利益のためにイスラエルとアルバニアを継続的に攻撃しています。関連する悪意のある活動を攻撃の初期段階で見つけるためにサイバー防御者を支援するために、 SOC Prime プラットフォーム は、最新のVoid Manticore攻撃に対処するために精選されたSigmaルールのセットを集約しており、BiBi wiperを利用した攻撃も含まれています。下の「検出を探索する」ボタンをクリックして、すぐに検出スタックを掘り下げることができます。

検出を探索する

すべての検出ルールは、30以上のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CKフレームワークにマッピングされています。さらに、脅威調査を効率化するために、CTIリンク、ATT&CK参照、トリアージの推奨事項など、広範なメタデータでアルゴリズムが強化されています。

Void Manticoreの活動を回顧的に分析するための追加の検出コンテンツを探しているセキュリティ専門職は、SOC Primeの 脅威検出マーケットプレイス を利用して、「Void Manticore」、「Storm-842」、および「Karma」のタグを閲覧できます。

Void Manticore活動分析

イランに関連する国家支援のハッキング集団、例えば Agonizing Serpensのような集団は、防御者にとって増大する脅威を与えており、特にイスラエルの組織が主な標的となっています。別のイランの国家支援を受けた集団であるVoid Manticore、別名 Storm-842、も注目されています。このハッキング集団は、イスラエルに対する影響作戦とともに悪名高いデータ消去キャンペーンに関与してきました。「 Homeland Justice」の名前で活動しているこのグループは、アルバニアに対する攻撃で観察されていますが、他のグループのペルソナもイスラエルに対する攻撃キャンペーンに関連しています。 Karma, has been linked to adversary campaigns against Israel.

Check Point Researches は、2023年中旬からイスラエルの機関を攻撃する国家支援のAPTを積極的に追跡しており、データ消去型マルウェアやランサムウェアを活用しています。言及された国家支援の脅威の中で、Void Manticoreは、Karmaという別名のもと、大規模な攻撃を仕掛け機密情報を盗むことで悪名高いイランに関連するハッキング集団を代表しています。イスラエルでは、この集団の攻撃はイスラエルのベンジャミン・ネタニヤフ首相にちなんで名付けられたカスタムBiBi Wiperの使用によって特徴付けられています。後者は、WindowsおよびLinuxベースのバージョン両方で、イスラエルの組織を標的とする複数のキャンペーンで使用されました。

Void Manticoreの行動パターンとデータダンプへの詳細な調査により、被害者のプロファイルがScarred Manticore（別名 Storm-861）と大きく重なることが明らかになり、2つの国家支援を受けたハッキンググループの間で協力がある可能性を示しています。Void ManticoreのTTPは比較的基本的で直接的であり、主にオープンソースユーティリティを使用した手動の手法に依存しています。敵対者は、マルウェアの展開前にRDPを介してしばしば侵害されたネットワーク内で横移動を行います。攻撃のさらなる段階では、通常、データ消去マルウェアを手動で展開し、他の手動削除タスクを実行します。より高度なScarred Manticoreグループとの協力により、Void Manticoreは目立つ攻撃を仕掛ける能力を強化します。特に、Storm-0861は、 APT34と見なされ、シャムーンや ZeroCleare 消去型マルウェアを展開することで目立っている他のイランの国家支援グループのサブクラスターとされています。

足場を確立した後、Void Manticoreは、エラーページとして偽装されたカスタムのKarma Shellなど、Webシェルを展開します。敵対者は、侵入時にカスタムのデータ消去マルウェアを使用します。これらの消去プログラムのいくつかは、影響を受けたシステム内の特定のファイルやファイルタイプを対象として破壊することで、集中した損害を引き起こします。他のタイプの消去プログラムはデータを選択的に削除するのではなく、システムのパーティションテーブルを攻撃し、本質的にOSがデータを見つけてアクセスするのに使用する地図を削除します。

カスタムのデータ消去マルウェアを活用することに加えて、このグループは、Windows Exploreを介したファイル削除、SysInternals SDelete、Windows Format Utilityのような一見正当なユーティリティを使用して、手動データ破壊を目指してターゲットにしています。

Void Manticoreのキャンペーンは、心理戦と具体的なデータ破壊を組み合わせた二方向の戦略を含んでいます。彼らは、悪意のあるデータ消去攻撃と公に情報を公開することで、ターゲットへの影響を強化します。

Void Manticoreによる破壊的な攻撃のリスクが高まり、政治的対立を効果的に利用する傾向があるため、このグループの悪意のある活動は、イスラエルやアルバニアに対するイランの攻撃活動の一環として、世界のサイバー防御コミュニティにとって増大する脅威をもたらしています。Storm-0861との協力により、Void Manticoreはより広範なターゲットに到達できるようになり、サイバー脅威の領域において非常に危険なアクターとして位置づけられます。SOC Primeは、防御者に AI駆動の検出エンジニアリング、 自動化された脅威ハンティング、 および 検出スタック検証のための包括的な製品スイート を提供し、急速に高まるリスクに対抗し、台頭する脅威を可能な限り短時間で緩和する積極的なサイバー防御を促進します。