Iraanse MOIS-gekoppelde hackers achter destructieve aanvallen op Albanië en Israël

Een Iraanse bedreigingsacteur die verbonden is aan het Ministerie van Inlichtingen en Veiligheid (MOIS) wordt toegeschreven als verantwoordelijke voor destructieve veegaanvallen gericht op Albanië en Israël onder respectievelijk de persona's Homeland Justice en Karma.

Cyberbeveiligingsbedrijf Check Point volgt de activiteit onder de naam Leegte Manticoreook bekend als Storm-0842 (voorheen DEV-0842) door Microsoft.

“Er zijn duidelijke overlappingen tussen de doelwitten van Void Manticore en Scarred Manticore, met aanwijzingen voor een systematische overdracht van doelwitten tussen deze twee groepen bij het besluit om destructieve activiteiten uit te voeren tegen bestaande slachtoffers van Scarred Manticore”, aldus het bedrijf in een vandaag gepubliceerd rapport.

De dreigingsactor staat bekend om zijn ontwrichtende cyberaanvallen tegen Albanië sinds juli 2022 onder de naam Homeland Justice, waarbij gebruik wordt gemaakt van op maat gemaakte wiper-malware genaamd Cl Wiper en No-Justice (ook bekend als LowEraser).

Soortgelijke wiper-malwareaanvallen hebben zich na de Israëlisch-Hamas-oorlog na oktober 2023 ook gericht op Windows- en Linux-systemen in Israël, waarbij gebruik werd gemaakt van een andere klantenwisser met de codenaam BiBi. De pro-Hamas hacktivistische groep draagt ​​de naam Karma.

Door de groep georkestreerde aanvalsketens zijn 'eenvoudig en eenvoudig', waarbij doorgaans gebruik wordt gemaakt van openbaar beschikbare tools en gebruik wordt gemaakt van Remote Desktop Protocol (RDP), Server Message Block (SMB) en File Transfer Protocol (FTP) voor zijdelingse verplaatsing voorafgaand aan de implementatie van malware. .

In sommige gevallen wordt initiële toegang bereikt door misbruik te maken van bekende beveiligingsfouten in internetgerichte applicaties (bijv. CVE-2019-0604), volgens een advies uitgebracht door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in september 2022.

Een succesvolle voet aan de grond wordt gevolgd door de inzet van webshells, waaronder een zelfgebouwde shell genaamd Karma Shell die zich voordoet als een foutpagina, maar in staat is mappen op te sommen, processen te creëren, bestanden te uploaden en services te starten/stoppen/op te sommen.

Void Manticore wordt ervan verdacht toegang te gebruiken die eerder door Scarred Manticore (ook bekend als Storm-0861) was verkregen om zijn eigen inbraken uit te voeren, wat een “overdrachtsprocedure” tussen de twee bedreigingsactoren onderstreept.

Deze hoge mate van samenwerking werd eerder ook benadrukt door Microsoft in zijn eigen onderzoek naar aanvallen gericht op Albanese regeringen in 2022, waarbij werd opgemerkt dat meerdere Iraanse actoren eraan deelnamen en dat zij verantwoordelijk waren voor verschillende fasen:

  • Storm-0861 kreeg initiële toegang en exfiltreerde gegevens
  • Storm-0842 heeft de ransomware en wiper-malware ingezet
  • Storm-0166 heeft gegevens geëxfiltreerd
  • Storm-0133 onderzocht de infrastructuur van slachtoffers

Het is ook de moeite waard om erop te wijzen dat Storm-0861 wordt beschouwd als een ondergeschikt element binnen APT34 (ook bekend als Cobalt Gypsy, Hazel Sandstorm, Helix Kitten en OilRig), een Iraanse natiestaatgroep die bekend staat om de Shamoon en ZeroCleare wiper-malware.

“De overlappingen in technieken die worden gebruikt bij aanvallen op Israël en Albanië, inclusief de coördinatie tussen de twee verschillende actoren, suggereren dat dit proces routine is geworden”, aldus Check Point.

“De operaties van Void Manticore worden gekenmerkt door hun tweeledige aanpak, waarbij psychologische oorlogvoering wordt gecombineerd met daadwerkelijke gegevensvernietiging. Dit wordt bereikt door het gebruik van wisaanvallen en door het publiekelijk lekken van informatie, waardoor de vernietiging van de beoogde organisaties wordt vergroot.”

Thijs Van der Does