伊朗黑客組織對以色列發起猛烈攻擊
責編:gltian |2024-05-23 14:27:16近日,伊朗國家黑客組織用數據擦除器對以色列40家重要組織實施了大規模的網絡攻擊活動。
雙拳出擊
根據Check Point Research的研究報告,伊朗情報和安全部(MOIS)麾下有兩個高級黑客組織(APT),其中一個名為Scarred Manticore(疤面蝎獅,也稱Storm-861),是伊朗最頂尖的間諜黑客組織,常年對中東及其他地區的高價值組織進行監視。該組織的攻擊效率很高,獲取了很多高價值目標的初始訪問權限;另一個MOIS的高級黑客組織Void Manticore(也稱Storm-842)也會利用Scarred Manticore獲得的初始訪問權限,開展自己的破壞性活動。
據報道,到目前為止,Void Manticore聲稱已成功攻擊了超過40個以色列組織,并在阿爾巴尼亞也發起多次高調的攻擊活動。
協同作戰
這兩個伊朗黑客組織之間的合作模式簡單且高效,充分利用了各自的優勢。
Check Point對Void Manticore的攻擊和信息泄露進行分析后發現,其受害者與Scarred Manticore的受害者群體存在顯著重疊,表明這兩個組織之間存在合作,某些案例中還發現有明確的“交接”程序(下圖):
首先,Scarred Manticore進行間諜活動,通過其復雜的無文件Liontail惡意軟件框架靜悄悄地執行電子郵件數據泄露,通常持續超過一年。
當發生一些升級事件時,比如以色列哈馬斯之間爆發沖突,攻擊策略的重點從網絡間諜活動轉向輿論影響和設施破壞行動,這時就輪到Void Manticore開始施展拳腳。
Void Manticore采用的技術、策略和程序(TTP)相對簡單粗暴,主要使用簡單且大部分公開可用的工具發動攻擊,例如使用遠程桌面協議(RDP)進行橫向移動,并手動部署數據擦除器。
與更為老練的Scarred Manticore的合作有助于Void Manticore接觸高價值目標。
破壞行動
Void Manticore在以色列的行動使用“Karma”的代號。
以色列與哈馬斯沖突爆發后不久,Karma就通過Telegram Channel介入沖突,并于2023年11月推出一個主題為反猶太復國主義的猶太黑客網站,發動反對以色列政府,特別是本杰明·內塔尼亞胡的輿論攻勢。Karma聲稱自己是政府軍事行動引發的“蝴蝶效應”的產物,因此使用蝴蝶圖標作為其標志的一部分。
Karma的另一個任務是徹底的破壞(擦除數據)。該組織使用常見的公開工具(如用于橫向移動的RDP和reGeorg Web shell),他們的目標是刪除以色列組織的文件,有時甚至手動刪除文件和共享驅動器。
Void Manticore還擁有一系列定制的數據擦除器,可以大致分為兩類。一類是設計用于破壞特定文件或文件類型的,采用更有針對性的方法。另一類則針對分區表,即主機系統中負責映射磁盤中文件位置的部分。通過破壞分區表,磁盤上的數據雖然未被觸動但無法訪問。
自首次出現以來,Karma聲稱已成功針對40多個以色列組織,其中包括幾個高價值目標。攻擊方式包括擦除、竊取和發布受害者的數據。
防御策略
對于防御者來說,同時對抗兩個分工協作的國家級APT黑客組織頗具挑戰性。因為他們各自擁有不同的工具、基礎設施、戰術、技術和程序(TTPs)。Check point的報告指出:“這是一個新趨勢,但還沒有人對此進行深入思考。”
兩個伊朗APT組織之間交接到破壞開始的時間窗口非常短,因此更簡單有效的防御路徑可能是專注于初始威脅(盡管它更復雜),因為間諜活動通常比破壞活動持續時間更長。當破壞性行為者獲得網絡訪問權限時,幾乎會立即進行操作。
報告指出,任何組織都可以采取簡單的防御措施來阻止協同作戰的APT組織中的一個。例如,Void Manticore的簡單TTPs可以通過有效的端點安全措施來阻止。
即使是Scarred Manticore這種隱蔽的間諜活動也可以在源頭上被阻斷。在大多數情況下,Scarred Manticore通過利用CVE-2019-0604漏洞(一個嚴重但已有五年歷史的微軟Sharepoint漏洞)開始攻擊。“這并不是一個零日漏洞,所以完全是可以預防的。
參考鏈接:
https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel/
來源:GoUpSec