İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı İranlı bir tehdit aktörünün, sırasıyla Vatan Adaleti ve Karma isimleri altında Arnavutluk ve İsrail’i hedef alan yıkıcı silme saldırılarının arkasında olduğu atfedildi.
Siber güvenlik firması Check Point, etkinliği bu isim altında izliyor Geçersiz MantikorMicrosoft tarafından Storm-0842 (eski adıyla DEV-0842) olarak da bilinir.
Şirket, “Void Manticore ve Scarred Manticore’un hedefleri arasında açık örtüşmeler var ve Scarred Manticore’un mevcut kurbanlarına karşı yıkıcı faaliyetler yürütmeye karar verirken bu iki grup arasında hedeflerin sistematik olarak dağıtıldığına dair belirtiler var” dedi. söz konusu bugün yayınlanan bir raporda.
Tehdit aktörü, Temmuz 2022’den bu yana Vatan Adaleti adı altında Arnavutluk’a karşı gerçekleştirdiği yıkıcı siber saldırılarıyla tanınıyor. Cl Silecek ve No-Adalet (diğer adıyla LowEraser).
Benzer silici kötü amaçlı yazılım saldırıları, Ekim 2023’ten sonra İsrail-Hamas savaşının ardından BiBi kod adlı başka bir müşteri silici kullanılarak İsrail’deki Windows ve Linux sistemlerini de hedef aldı. Hamas yanlısı hacktivist grup Karma adını kullanıyor.
Grup tarafından düzenlenen saldırı zincirleri “basit ve basittir”; genellikle kamuya açık araçlardan yararlanılır ve kötü amaçlı yazılım dağıtımından önce yanal hareket için Uzak Masaüstü Protokolü (RDP), Sunucu İleti Bloğu (SMB) ve Dosya Aktarım Protokolü’nden (FTP) yararlanılır. .
Bazı durumlarda ilk erişim, internete yönelik uygulamalardaki bilinen güvenlik açıklarından yararlanılarak gerçekleştirilir (örn. CVE-2019-0604), bir tavsiyeye göre piyasaya sürülmüş ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Eylül 2022’de.
Başarılı bir dayanağı, bir hata sayfası gibi görünen ancak dizinleri numaralandırma, süreçler oluşturma, dosya yükleme ve hizmetleri başlatma/durdurma/listeleme yeteneğine sahip, Karma Shell adı verilen evde oluşturulmuş bir kabuk da dahil olmak üzere web kabuklarının konuşlandırılması izler.
Void Manticore’un, daha önce Scarred Manticore (diğer adıyla Storm-0861) tarafından elde edilen erişimi kendi izinsiz girişlerini gerçekleştirmek için kullandığından şüpheleniliyor ve bu da iki tehdit aktörü arasında bir “transfer” prosedürünün altını çiziyor.
Bu yüksek seviyedeki işbirliği daha önce Microsoft tarafından 2022’de Arnavutluk hükümetlerini hedef alan saldırılara ilişkin kendi soruşturmasında da vurgulanmış, buna birden fazla İranlı aktörün katıldığı ve farklı aşamalardan sorumlu oldukları belirtilmişti.
- Storm-0861 ilk erişime kavuştu ve verilere sızdırıldı
- Storm-0842, fidye yazılımını ve temizleme kötü amaçlı yazılımını dağıttı
- Storm-0166’dan sızdırılan veriler
- Storm-0133 kurban altyapısını araştırdı
Storm-0861’in, Shamoon ve ZeroCleare zararlı yazılımlarıyla tanınan İranlı bir ulus-devlet grubu olan APT34 (aka Cobalt Gypsy, Hazel Sandstorm, Helix Kitten ve OilRig) içerisinde ikincil bir unsur olarak değerlendirildiğini de belirtmekte fayda var.
Check Point, “İsrail ve Arnavutluk’a yönelik saldırılarda kullanılan tekniklerdeki örtüşmeler ve iki farklı aktör arasındaki koordinasyon, bu sürecin rutin hale geldiğini gösteriyor.” dedi.
“Void Manticore’un operasyonları, psikolojik savaşı gerçek veri imhasıyla birleştiren ikili yaklaşımıyla karakterize ediliyor. Bu, silme saldırıları kullanmaları ve kamuya bilgi sızdırmaları yoluyla elde ediliyor ve böylece hedeflenen kuruluşlar üzerindeki yıkımı artırıyor.”