SOC Prime Bias: Критичний

24 Jun 2026 15:55 UTC
newspaper icon picussecurity.com

Група загроз Handala: тактики, цілі та хронологія атак

Author Photo
SOC Prime Team linkedin icon Стежити
Група загроз Handala: тактики, цілі та хронологія атак
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Хандала – це хактивістська група, пов’язана з Іраном, що здійснює руйнівні кібератаки. Група використовує атаки з декількох етапів, які поєднують фішинг, завантажувачі на базі AutoIT та знищення даних шкідливим ПЗ. Її кампанії в першу чергу націлені на порушення діяльності та знищення даних на інфраструктурних об’єктах Ізраїлю, США та в регіоні.

Розслідування

Звіт висвітлює перехід Хандали від традиційної хактивістської діяльності до більш вишуканих руйнівних операцій. У ньому аналізується використання групою технік BYOVD для підвищення привілеїв і її розгортання вайтпейлоудів як в Windows, так і в Linux середовищах. Технічний аналіз також охоплює активність командування та контролю через Telegram і методи обфускації, вбудовані в пакетні скрипти.

Пом’якшення

Організації повинні застосовувати сувору фільтрацію електронної пошти для блокування шкідливих вкладень і підозрілих ZIP-завантажень. Обмеження використання вразливих або несанкціонованих драйверів може знизити ризик зловживання BYOVD, а моніторинг несанкціонованого виконання AutoIT може допомогти виявити активність на ранніх етапах. Необхідно також налаштувати захисні засоби для виявлення швидкого перезапису файлів і несанкціонованих дій з форматування диска.

Відповідь

Якщо виявлено активність, пов’язану з Хандала, заражені хости повинні бути ізольовані негайно, щоб зупинити поширення шкідливого ПЗ. Розслідувачі повинні виконати аналіз пам’яті для виявлення вбудованого шеллкоду та перевірити системи на наявність несанкціонованих завантажень драйверів. Логи електронної пошти також слід аналізувати для визначення обсягу фішингової кампанії, а будь-які компрометовані облікові дані мають бути замінені без зволікань.

"graph TB %% Визначення класів classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef privilege_escalation fill:#fbb,stroke:#333,stroke-width:2px classDef defense_evasion fill:#bfb,stroke:#333,stroke-width:2px classDef discovery fill:#fff4dd,stroke:#333,stroke-width:2px classDef command_and_control fill:#d4f1f9,stroke:#333,stroke-width:2px classDef impact fill:#ffcccb,stroke:#333,stroke-width:2px %% Стадія початкового доступу action_phishing["<b>Дія</b> – <b idea='T1566.001'>Фішинг: Спілкування з використанням вкладень (Spearphishing Attachment)</b><br/><b>Опис</b>: Дефективні електронні листи, що містять<br/>шкідливі PDF вкладення або ZIP архіви.<br/><b>Приклади</b>: update.zip, F5UPDATER.EXE"] class action_phishing initial_access %% Стадія виконання action_execution["<b>Дія</b> – <b idea='T1059'>Інтерпретатор команд і сценаріїв</b><br/><b>Опис</b>: Використання NSIS виконуваних файлів і<br/>скомпільованих скриптів AutoIT для завантаження шеллкоду."] class action_execution execution %% Стадія підвищення привілеїв action_priv_esc["<b>Дія</b> – <b idea='T1068'>Експлуатація для підвищення привілеїв</b><br/><b>Опис</b>: Використання Bring Your Own Vulnerable Driver (BYOVD)<br/>механізму для доступу до пам’яті ядра."] tool_vulnerable_driver["<b>Інструмент</b> – <b idea='BYOVD'>ListOpenedFileDrv_32.sys</b><br/><b>Опис</b>: Драйвер, що використовується для отримання вищого<br/>контролю над системою."] class action_priv_esc privilege_escalation class tool_vulnerable_driver privilege_escalation %% Стадія ухилення від захисту action_evasion["<b>Дія</b> – <b idea='T1027.016'>Обфускація файлів або інформації: Вставка сміттєвого коду</b><br/><b>Опис</b>: Вставка недійсних сміттєвих команд у<br/>пакетні скрипти, щоб заплутати аналітиків."] class action_evasion defense_evasion %% Стадія виявлення action_discovery["<b>Дія</b> – <b idea='T1082'>Виявлення системної інформації</b><br/><b>Опис</b>: Збір назв хостів, доменної інформації,<br/>та даних користувачів."] class action_discovery discovery %% Стадія командування та контролю action_cnc["<b>Дія</b> – <b idea='T1102.002'>Веб-сервіс: Telegram</b><br/><b>Опис</b>: Використання каналів Telegram з жорстко закодованими<br/>Bot та Channel IDs для зв’язку."] class action_cnc command_and_control %% Стадія впливу action_impact["<b>Дія</b> – <b idea='T1561.001'>Знищення диску: Знищення вмісту диску</b><br/><b>Опис</b>: Агресивне перезаписування цільових файлів<br/>з випадковими блоками по 4096 байт або нулями."] class action_impact impact %% Зв’язки action_phishing –>|призводить до| action_execution action_execution –>|спрацьовує| action_priv_esc action_priv_esc –>|використовує| tool_vulnerable_driver action_execution –>|застосовує| action_evasion action_execution –>|здійснює| action_discovery action_discovery –>|встановлює| action_cnc action_cnc –>|сприяє| action_impact "

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базового рівня повинна пройдено.

Обґрунтування: Цей розділ деталізує точне виконання техніки суперника (TTP), розробленої для запуску правила виявлення. Команди та наратив МУТЬ безпосередньо відображати визначені TTP та прагнути генерувати точну телеметрію, очікувану логікою виявлення. Анотації або нерелевантні приклади призведуть до неправильної діагностики.

  • Атака та команди: Зловмисник вдало доставив зловмисний інсталятор NSIS через вкладення фішингового листа. Після виконання, двигун NSIS використовується для запуску прихованої командної оболонки. Мета полягає в тому, щоб вставити вторинний скрипт (Carroll.cmd) у робочий каталог та виконати його негайно без втручання користувача. Щоб залишитися поза радаром, зловмисник використовує SW_HIDE щоб запобігти появі вікна командного рядка на робочому столі користувача. Ця техніка використовує законне програмне забезпечення для інсталяції з метою виконання довільних команд.

  • Скрипт регресійного тестування:

    # Скрипт симуляції: Імітація виконання командного рядка NSIS
# Примітка: Оскільки ми моделюємо 'командний рядок', захоплений правилом, 
# ми викликаємо створення процесу, який імітує специфічний рядок, що виявлений.

$MaliciousCommand = 'ExecShell open cmd "/k copy Carroll Carroll.cmd & Carroll.cmd & exit" SW_HIDE'

# Щоб точно відтворити створення процесу NSIS, ми викликаємо cmd.exe 
# з рядком як аргумент, щоб переконатися, що він з’являється в телеметрії командного рядка.
Start-Process "cmd.exe" -ArgumentList "/c echo $MaliciousCommand"

Write-Host "Команда симуляції виконана. Перевірте SIEM для: $MaliciousCommand"

  • Команди очищення:

    # Видалити всі файли, створені під час симуляції
Remove-Item -Path "$env:TEMPCarroll.cmd" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPCarroll" -ErrorAction SilentlyContinue

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно