Void Manticore 공격 탐지: 이란 해커가 이스라엘에 파괴적인 사이버 공격을 감행

방어자들은 이란의 정보 보안부(MOIS)와 연결된 Void Manticore 그룹의 악성 활동이 증가하고 있음을 발견했습니다. Storm-842로도 알려진 적들은 이스라엘을 대상으로 한 일련의 파괴적인 사이버 공격을 주도했습니다. Void Manticore는 Homeland Justice와 Karma라는 명칭으로도 추적되며, 이스라엘을 넘어 침투 범위를 확장하고 있습니다.

Void Manticore(aka Storm-842 또는 Karma) 활동 탐지

2023-2024년 동안 국가 지원 해킹 집단의 활동이 크게 증가했으며, 이는 전 세계적으로 심화되는 지정학적 지역 분쟁의 영향을 반영합니다. 새로운 TTP의 빠른 채택과 계속해서 증가하는 악성 캠페인의 수와 함께, 보안 전문가들은 위협 탐지 및 사냥 루틴을 향상시킬 신뢰할 수 있는 도구를 찾고 있습니다.

스포트라이트를 받는 최신 악성 캠페인은 이란의 정치적 이익을 위해 이스라엘과 알바니아를 지속적으로 타겟으로 하는 Void Manticore APT를 포함합니다. 사이버 방어자들이 공격 개발 초기 단계에서 관련 악성 활동을 발견할 수 있도록 돕기 위해, SOC Prime 플랫폼 은 공동 사이버 방어를 위해 BiBi 와이퍼를 활용한 공격을 포함하여 최신 Void Manticore 공격을 다루는 큐레이션된 시그마 규칙 세트를 집계합니다. 아래의 탐지 탐색 버튼을 클릭하여 즉시 탐지 스택으로 세부 정보를 확인하세요.

탐지 탐색

모든 탐지 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK 프레임워크에 매핑됩니다. 또한, 위협 조사를 간소화하기 위해 알고리즘은 CTI 링크, ATT&CK 참조, 분류 권장 사항 등을 포함한 광범위한 메타데이터로 풍부해졌습니다.

Void Manticore의 활동을 소급 분석하기 위한 추가 탐지 콘텐츠를 찾는 보안 전문가들은 SOC Prime의 Threat Detection Marketplace 를 “Void Manticore“, “Storm-842“, 및 “Karma” 태그를 사용하여 탐색할 수 있습니다.

Void Manticore 활동 분석

이란과 연결된 국가 지원 해킹 집단인 Agonizing Serpens와 같은 집단은 방어자들에게 점점 더 많은 도전을 제기하고 있으며, 이스라엘 조직이 주요 목표 중 하나입니다. Void Manticore로 추적되는 또 다른 이란의 국가 지원 집단은 Storm-842로도 알려져 있으며, 이스라엘을 대상으로 한 영향력 작전과 함께 악명 높은 와이핑 캠페인에 관여하고 있습니다. 호명체인 Homeland Justice로 활동하는 이 그룹은 알바니아 공격에서도 관찰된 바 있으며, 또 다른 그룹 인격이 Karma을 통해 이스라엘에 대한 적대 캠페인과 연결되었습니다.

Check Point 연구원들은 2023년 중순 이후 이스라엘 기관을 공격하는 국가 지원 APT를 적극적으로 추적해 왔으며, 이러한 위협은 데이터 삭제 멀웨어와 랜섬웨어를 활용하고 있습니다. 언급된 국가 지원 위협 중, Void Manticore는 대규모 공격을 개시하고 민감한 정보를 탈취하는 것으로 악명 높은 이란과 제휴한 해킹 집단을 나타내며, Karma라는 명칭으로 활동합니다. 이스라엘에서 이 그룹의 공격은 이스라엘 총리 Benjamin Netanyahu의 이름을 딴 맞춤형 BiBi 와이퍼 사용으로 표시됩니다. 이 와이퍼는 Windows와 Linux 기반 변형을 포함한 여러 캠페인에서 이스라엘 조직을 대상으로 했습니다.

Void Manticore의 행동 패턴과 데이터 덤프에 대한 심층 탐구는 Scarred Manticore(aka Storm-861)와의 희생자 프로필에서 상당한 중첩을 드러내며, 이는 이 두 국가 지원 해킹 그룹 간의 협력이 가능성을 나타냅니다. Void Manticore의 TTP는 상대적으로 기본적이고 간단하며, 주로 오픈 소스 유틸리티를 활용하는 수작업 방법에 의존합니다. 적들은 악성코드 배포 이전에 감염된 네트워크 내에서 RDP를 통해 자주 수평 이동합니다. 공격의 다음 단계에서는 종종 수동으로 와이핑 멀웨어를 배포하며, 다른 수동 삭제 작업도 수행합니다. 더 강력한 Scarred Manticore 그룹과의 협력은 고위험 공격을 수행할 수 있는 Void Manticore의 능력을 향상시킬 가능성이 있습니다. 또한 Storm-0861은 Shamoon 및 APT34와이퍼 멀웨어를 배포하는 것으로 유명한 또 다른 이란의 국가 지원 그룹의 하위 클러스터로 간주됩니다. ZeroCleare 입니다.

성공적으로 발판을 마련한 후 Void Manticore는 오류 페이지로 위장된 Karma Shell이라는 맞춤형 웹 셸을 포함한 웹 셸 배포로 나아갑니다. 적들은 침입 시 맞춤형 와이핑 멀웨어를 사용합니다. 이들 중 일부 와이퍼는 영향을 받은 시스템 내의 특정 파일 또는 파일 유형을 목표로 삼아 피해를 집중적으로 발생시킵니다. 다른 유형의 와이퍼는 선택적으로 데이터를 삭제하기보다는 시스템의 파티션 테이블을 공격하며, 이는 운영체제가 데이터를 찾고 접근하는 데 사용하는 지도를 사실상 제거합니다.

맞춤형 데이터 삭제 멀웨어를 활용하는 것 외에도, 이 그룹은 Windows Explorer를 통한 파일 삭제, SysInternals SDelete, Windows Format Utility와 같은 명목상 정당한 유틸리티를 사용하여 수동으로 데이터를 파괴합니다.

Void Manticore의 캠페인은 심리적 전쟁과 실질적인 데이터 파괴를 혼합한 양동 전략을 포함합니다. 이들은 악성 데이터 삭제 공격을 사용하고 정보를 공개하여 타겟에 대한 영향을 심화합니다.

Void Manticore에 기인한 파괴적인 공격의 증가하는 위험과 그들이 정치적 분쟁을 효과적으로 악용하려는 경향과 함께, 이 그룹의 악성 활동은 이스라엘과 알바니아에 대한 이란의 공격 활동이 증가하는 일환으로 글로벌 사이버 방어 커뮤니티에 점점 더 큰 위협이 되고 있습니다. Storm-0861과 협력하여 Void Manticore는 더 넓은 범위의 타겟에 도달할 수 있게 되며, 이는 사이버 위협 영역 내에서 이 후자를 극도로 위험한 행위자로 만듭니다. SOC Prime은 방어자들에게 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 탐지 스택 유효성 검사를 위한 완전한 제품군 을 제공하여 지속적으로 심화되는 리스크에 대한 선제적 사이버 방어를 용이하게 하고, 가능한 최소 시간 내에 새로운 위협을 완화합니다.