Tin tặc liên kết với Iran đứng sau các cuộc tấn công phá hoại vào Albania và Israel


 Một tác nhân đe dọa Iran liên kết với Bộ Tình báo và An ninh (MOIS) đã được cho là đứng sau các cuộc tấn công xóa sổ hủy diệt nhắm vào Albania và Israel theo nhân vật Công lý Nội địa và Karma, tương ứng.

Công ty an ninh mạng Check Point đang theo dõi hoạt động này dưới biệt danh Void Manticore, còn được Microsoft gọi là Storm-0842 (trước đây là DEV-0842).

"Có sự chồng chéo rõ ràng giữa các mục tiêu của Void Manticore và Scarred Manticore, với các dấu hiệu về việc bàn giao có hệ thống các mục tiêu giữa hai nhóm đó khi quyết định tiến hành các hoạt động phá hoại chống lại các nạn nhân hiện tại của Scarred Manticore", công ty cho biết trong một báo cáo được công bố ngày hôm nay.

Tác nhân đe dọa được biết đến với các cuộc tấn công mạng gây rối chống lại Albania kể từ tháng 7/2022 dưới tên Homeland Justice liên quan đến việc sử dụng phần mềm độc hại gạt nước riêng biệt có tên Cl Wiper and No-Justice (hay còn gọi là LowEraser).

Các cuộc tấn công phần mềm độc hại xóa dữ liệu tương tự cũng đã nhắm mục tiêu vào các hệ thống Windows và Linux ở Israel sau cuộc chiến Israel-Hamas sau tháng 10/2023 bằng cách sử dụng một trình xóa dữ liệu khách hàng khác có tên mã là BiBi. Nhóm hacktivist ủng hộ Hamas có tên là Karma.

Các chuỗi tấn công do nhóm này dàn dựng là "đơn giản và đơn giản", thường tận dụng các công cụ có sẵn công khai và sử dụng Giao thức máy tính để bàn từ xa (RDP), Khối thông báo máy chủ (SMB) và Giao thức truyền tệp (FTP) để di chuyển bên trước khi triển khai phần mềm độc hại.

Quyền truy cập ban đầu trong một số trường hợp được thực hiện bằng cách khai thác các lỗ hổng bảo mật đã biết trong các ứng dụng truy cập internet (ví dụ: CVE-2019-0604), theo một lời khuyên do Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đưa ra vào tháng 9/2022.

Một chỗ đứng thành công được theo sau bởi việc triển khai các trình bao web, bao gồm một trang tự chế có tên Karma Shell giả mạo như một trang lỗi nhưng có khả năng liệt kê các thư mục, tạo quy trình, tải lên tệp và bắt đầu / dừng / liệt kê các dịch vụ.

Void Manticore bị nghi ngờ sử dụng quyền truy cập trước đây của Scarred Manticore (hay còn gọi là Storm-0861) để thực hiện các cuộc xâm nhập của riêng mình, nhấn mạnh quy trình "bàn giao" giữa hai tác nhân đe dọa.

Mức độ hợp tác cao này trước đây cũng được Microsoft nhấn mạnh trong cuộc điều tra riêng về các cuộc tấn công nhắm vào chính phủ Albania vào năm 2022, lưu ý rằng nhiều tác nhân Iran đã tham gia vào nó và họ chịu trách nhiệm cho các giai đoạn riêng biệt -

  • Storm-0861 đã có được quyền truy cập ban đầu và trích xuất dữ liệu
  • Storm-0842 triển khai ransomware và wiper malware
  • Dữ liệu rò rỉ Storm-0166
  • Storm-0133 thăm dò cơ sở hạ tầng nạn nhân

Cũng cần chỉ ra rằng Storm-0861 được đánh giá là một yếu tố phụ thuộc trong APT34 (hay còn gọi là Cobalt Gypsy, Hazel Sandstorm, Helix Kitten và OilRig), một nhóm quốc gia Iran nổi tiếng với phần mềm độc hại xóa dữ liệu Shamoon và ZeroCleare.

Mới hơn Cũ hơn