Detecção de Ataque Void Manticore: Hackers Iranianos Lançam Ataques Cibernéticos Destrutivos Contra Israel
Índice:
Os defensores descobriram a crescente atividade maliciosa do grupo Void Manticore, vinculado ao Ministério da Inteligência e Segurança do Irã (MOIS). Os adversários, também conhecidos como Storm-842, estão por trás de uma série de ataques cibernéticos destrutivos contra Israel. O Void Manticore também é rastreado sob os nomes de Homeland Justice e Karma, ampliando o escopo de suas intrusões além de Israel.
Detectar Atividade do Void Manticore (também conhecido como Storm-842 ou Karma)
Durante 2023-2024, a atividade de coletivos de hackers apoiados por nações aumentou significativamente, refletindo o impacto das intensificadas disputas geopolíticas regionais globalmente. Com a rápida adoção das novas TTPs e o crescente número de campanhas maliciosas em andamento, os profissionais de segurança estão em busca de ferramentas confiáveis para avançar em suas rotinas de detecção e caçada de ameaças.
A mais recente campanha nefasta em destaque envolve o APT Void Manticore, que tem continuamente como alvo Israel e Albânia para servir aos interesses políticos do Irã. Para ajudar os defensores cibernéticos a identificar atividades maliciosas relacionadas nos estágios iniciais do desenvolvimento do ataque, Plataforma SOC Prime para defesa cibernética coletiva agrega um conjunto de regras Sigma selecionadas abordando os últimos ataques do Void Manticore, incluindo aqueles que usam o wiper BiBi. Clique no botão Explorar Detecções abaixo e aprofunde-se imediatamente no stack de detecções.
Todas as regras de detecção são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e mapeadas para o quadro MITRE ATT&CK. Além disso, para agilizar a investigação de ameaças, os algoritmos são enriquecidos com metadados extensivos, incluindo links CTI, referências ATT&CK, recomendações de triagem e mais.
Profissionais de segurança que buscam conteúdo de detecção adicional para analisar a atividade do Void Manticore retrospectivamente podem navegar pelo Marketplace de Detecção de Ameaças da SOC Prime usando as tags “Void Manticore,” “Storm-842,” e “Karma”.
Análise da Atividade do Void Manticore
Coletivos de hackers patrocinados pelo estado iraniano, como Serpens Agonizante, estão representando desafios crescentes para os defensores, com organizações israelenses entre seus principais alvos. Outro coletivo apoiado pelo Irã, rastreado como Void Manticore, também conhecido como Storm-842, ganha destaque. O coletivo de hackers tem estado envolvido em campanhas notórias de wiping, juntamente com operações de influência contra Israel. Operando sob o pseudônimo Homeland Justice, o grupo foi observado em ataques contra a Albânia, enquanto a persona de outro grupo, Karma, foi ligada a campanhas adversárias contra Israel.
Pesquisadores da Check Point têm monitorado ativamente APTs patrocinados por nações que atacam instituições israelenses usando malware de limpeza de dados e ransomware desde meados do outono de 2023. Entre as ameaças mencionadas patrocinadas pelo estado, o Void Manticore representa um coletivo de hackers afiliado ao Irã, notório por lançar ataques massivos e roubar informações sensíveis sob o pseudônimo Karma. Em Israel, os ataques do grupo são marcados pelo uso do wiper customizado BiBi, nomeado em homenagem ao primeiro-ministro israelense Benjamin Netanyahu. Este último foi empregado em várias campanhas visando um conjunto de organizações israelenses, com iterações baseadas tanto em Windows quanto em Linux.
A imersão profunda nos padrões comportamentais e nos despejos de dados do Void Manticore revela uma sobreposição significativa nos perfis das vítimas com o Scarred Manticore (também conhecido como Storm-861), o que indica uma possível colaboração entre os dois grupos de hackers apoiados por nações. As TTPs do Void Manticore são relativamente básicas e diretas, dependendo de métodos práticos, principalmente utilizando utilitários de código aberto. Os adversários frequentemente movem-se lateralmente dentro da rede comprometida via RDP antes do implante de malware. Em estágios posteriores do ataque, eles comumente implantam manualmente seu malware de limpeza enquanto conduzem outras tarefas de exclusão manual. Coordenar esforços com o grupo mais avançado Scarred Manticore provavelmente melhora a capacidade do Void Manticore de lançar ataques de alto perfil. Notavelmente, Storm-0861 é considerado um subgrupo do APT34, outro grupo patrocinado pelo Estado iraniano notável por implantar o Shamoon e malware wiper ZeroCleare .
Depois de obter um ponto de apoio bem-sucedido, o Void Manticore procede ao lançamento de web shells, incluindo um personalizado conhecido como Karma Shell, disfarçado como uma página de erro. Os adversários empregam malware de limpeza customizado em suas intrusões. Alguns desses wipers têm como alvo e destroem arquivos específicos ou tipos de arquivos dentro de sistemas impactados, causando um dano focado. Outros tipos de wipers atacam a tabela de partição do sistema, em vez de deletar dados seletivamente, essencialmente removendo o mapa usado pelo sistema operacional para localizar e acessar dados.
Além de utilizar malware de limpeza de dados personalizado, o grupo tem como alvo as vítimas para destruição manual de dados usando utilitários aparentemente legítimos, como Deleção de Arquivos via Windows Explorer, SysInternals SDelete, e Utilitário de Formatação do Windows.
As campanhas do Void Manticore envolvem uma estratégia de duas frentes, combinando guerra psicológica com destruição tangível de dados. Eles conseguem isso empregando ataques nefastos de limpeza de dados e divulgando publicamente informações, intensificando assim o impacto sobre os alvos.
Com os crescentes riscos de ataques destrutivos atribuídos ao Void Manticore e sua tendência de efetivamente explorar disputas políticas, a atividade maliciosa do grupo representa uma crescente ameaça à comunidade global de defensores cibernéticos como parte da crescente atividade ofensiva do Irã contra Israel e Albânia. Coordenar esforços com o Storm-0861 permite ao Void Manticore alcançar uma gama mais ampla de alvos, o que o coloca como um ator extremamente perigoso na arena de ameaças cibernéticas. SOC Prime equipa os defensores com o conjunto completo de produtos para Engenharia de Detecção com IA, Caça de Ameaças Automatizada e Validação de Stack de Detecção para facilitar a defesa cibernética proativa contra riscos em constante escalada e remediar ameaças emergentes no menor tempo possível.
