Un actor de amenazas iraní vinculado con el Ministerio de Inteligencia y Seguridad (MOIS) ha sido atribuido como responsable de ataques destructivos de borrado dirigidos a Albania e Israel bajo las personalidades Homeland Justice y Karma, respectivamente.
La firma de ciberseguridad Check Point está rastreando la actividad bajo el nombre de Void Manticore, también conocido como Storm-0842 (anteriormente DEV-0842) por Microsoft.
“Existen claras coincidencias entre los objetivos de Void Manticore y Scarred Manticore, con indicios de una entrega sistemática de objetivos entre esos dos grupos al decidir llevar a cabo actividades destructivas contra las víctimas existentes de Scarred Manticore,” dijo la compañía en un informe publicado hoy.
El actor de amenazas es conocido por sus ataques cibernéticos disruptivos contra Albania desde julio de 2022 bajo el nombre Homeland Justice que involucran el uso de malware de borrado personalizado llamado Cl Wiper y No-Justice (también conocido como LowEraser).
Los ataques con malware de borrado similar también han apuntado a sistemas Windows y Linux en Israel después de la guerra entre Israel y Hamas después de octubre de 2023 utilizando otro malware de borrado personalizado llamado BiBi. El grupo de hacktivistas pro-Hamas se llama Karma.
Las cadenas de ataque orquestadas por el grupo son “directas y simples,” típicamente aprovechando herramientas disponibles públicamente y haciendo uso de Protocolo de Escritorio Remoto (RDP), Bloque de Mensajes del Servidor (SMB) y Protocolo de Transferencia de Archivos (FTP) para movimiento lateral antes del despliegue del malware.
El acceso inicial en algunos casos se logra mediante la explotación de vulnerabilidades de seguridad conocidas en aplicaciones expuestas a Internet (por ejemplo, CVE-2019-0604), según un aviso publicado por la Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) en septiembre de 2022.
Un punto de apoyo exitoso es seguido por el despliegue de cáscaras web, incluyendo una llamada Karma Shell diseñada caseramente que se camufla como una página de error pero es capaz de enumerar directorios, crear procesos, subir archivos y comenzar / detener / listar servicios.
Se sospecha que Void Manticore está utilizando el acceso obtenido previamente por Scarred Manticore (también conocido como Storm-0861) para llevar a cabo sus propias intrusiones, subrayando un procedimiento de “entrega” entre los dos actores de amenazas.
Este alto nivel de cooperación también fue destacado por Microsoft en su propia investigación sobre los ataques dirigidos a los gobiernos albaneses en 2022, señalando que múltiples actores iraníes participaron en él y que fueron responsables de fases distintas –
- Storm-0861 obtuvo acceso inicial y exfiltró datos
- Storm-0842 desplegó el ransomware y el malware de borrado
- Storm-0166 exfiltró datos
- Storm-0133 exploró la infraestructura de las víctimas
También cabe señalar que se evaluó que Storm-0861 es un elemento subordinado dentro de APT34 (también conocido como Cobalt Gypsy, Hazel Sandstorm, Helix Kitten y OilRig), un grupo estatal iraní conocido por los malware de borrado Shamoon y ZeroCleare.
“Las coincidencias en las técnicas empleadas en los ataques contra Israel y Albania, incluida la coordinación entre los dos diferentes actores, sugieren que este proceso se ha vuelto rutinario,” dijo Check Point.
“Las operaciones de Void Manticore se caracterizan por su enfoque dual, combinando la guerra psicológica con la destrucción real de datos. Esto se logra a través de sus ataques de borrado y filtración de información pública, amplificando así la destrucción en las organizaciones objetivo.”