Двуликая Void Manticore: как Иран борется с врагами Тегерана

Мир кибербезопасности встревожен новыми разрушительными атаками, которые направлены на Израиль и Албанию. За атаками стоит иранская группа, связанная с Министерством разведки и безопасности Ирана (MOIS). Специалисты Check Point Research пролили свет на тактику иранских хакеров.

Группировка, получившая название Void Manticore (Storm-0842), использует различные псевдонимы для своих операций в разных странах. Наиболее известные из них – Homeland Justice для атак в Албании и Karma – для операций против Израиля.

Void Manticore нацеливается на разные регионы, применяя уникальные подходы для каждой цели. Действия группы перекрываются с действиями другой иранской группировки Scarred Manticore, что свидетельствует о координации и систематическом выборе жертв в рамках работы на Министерством разведки и безопасности Ирана (MOIS).

Специалисты Check Point предупреждают, что Void Manticore представляет значительную угрозу «для всех, кто противостоит иранским интересам». Группировка использует сложную сеть псевдонимов, стратегическое сотрудничество и сложные методологии атак.

Группировка известна своим двойным подходом к кибератакам, сочетая физическое уничтожение данных с психологическим давлением. Используя 5 различных методов, включая кастомные вайперы для Windows и Linux, Void Manticore нарушает работу систем через удаление файлов и манипуляцию с общими дисками.

Специализация на разрушительной фазе

Исследователи проанализировали систематическую передачу целей между двумя кибергруппировками. Scarred Manticore отвечает за начальный доступ и извлечение данных из целевых сетей, после чего передает контроль Void Manticore для выполнения «разрушительной фазы операции». Такое сотрудничество значительно увеличивает масштаб и влияние атак.

Перекрытия в действиях были замечены в атаках на Израиль в 2023-2024 годах и на Албанию в 2022 году.

Простые, но эффективные тактики

Атаки Void Manticore отличаются своей простотой и прямолинейностью. Обычно используются общедоступные инструменты и протоколы, такие как Remote Desktop Protocol (RDP), Server Message Block (SMB) и File Transfer Protocol (FTP) для перемещения внутри сети перед развертыванием вредоносного ПО. В некоторых случаях первоначальный доступ достигается за счёт эксплуатации уязвимости CVE-2019-0604 в Microsoft SharePoint.

Попав внутрь, хакеры внедряют вайперы Cl Wiper и No-Justice (LowEraser) для систем Windows и Linux. Некоторые из вайперов нацелены на конкретные файлы, типы файлов или приложения для избирательного удаления критической информации (Cl Wiper), в то время как другие повреждают таблицу разделов системы, делая данные недоступными (No-Justice). Некоторые данные группа удаляет вручную, что еще больше усиливает эффект атак.

CI Wiper впервые был применен в атаке на Албанию в июле 2022 года вместе с LowEraser, который использовался в атаках на Албанию и Израиль. В последних атаках также использовался BiBi Wiper, который существует в версиях для Linux и Windows, применяя сложные техники для повреждения файлов и нарушения работы системы.

Атаки Void Manticore свидетельствуют о высоком уровне угрозы для стран, противостоящих иранским интересам. Исследователи продолжают следить за деятельностью группировок, чтобы минимизировать последствия их разрушительных действий.