İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı İranlı bir tehdit aktörünün, sırasıyla Vatan Adaleti ve Karma isimleri altında Arnavutluk ve İsrail’i hedef alan yıkıcı silme saldırılarının arkasında olduğu atfedildi.
Siber güvenlik firması Check Point, etkinliği bu isim altında izliyor Geçersiz MantikorMicrosoft tarafından Storm-0842 (eski adıyla DEV-0842) olarak da bilinir.
Şirket bugün yayınlanan bir raporda, “Void Manticore ve Scarred Manticore’un hedefleri arasında açık örtüşmeler var ve Scarred Manticore’un mevcut kurbanlarına karşı yıkıcı faaliyetler yürütmeye karar verirken bu iki grup arasında hedeflerin sistematik olarak dağıtıldığına dair belirtiler var” dedi.
Tehdit aktörü, Temmuz 2022’den bu yana Homeland Justice adı altında Arnavutluk’a yönelik, Cl Wiper ve No-Justice (diğer adıyla LowEraser) adı verilen özel silecek kötü amaçlı yazılımların kullanımını içeren yıkıcı siber saldırılarıyla tanınıyor.
Benzer silici kötü amaçlı yazılım saldırıları, Ekim 2023’ten sonra İsrail-Hamas savaşının ardından BiBi kod adlı başka bir müşteri silici kullanılarak İsrail’deki Windows ve Linux sistemlerini de hedef aldı. Hamas yanlısı hacktivist grup Karma adını kullanıyor.
Grup tarafından düzenlenen saldırı zincirleri “basit ve basit” olup, genellikle kamuya açık araçlardan yararlanır ve kötü amaçlı yazılım dağıtımından önce yanal hareket için Uzak Masaüstü Protokolü (RDP), Sunucu İleti Bloğu (SMB) ve Dosya Aktarım Protokolü’nden (FTP) yararlanır. .
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Eylül 2022’de yayınladığı bir tavsiye belgesine göre, bazı durumlarda ilk erişim, internete yönelik uygulamalardaki bilinen güvenlik kusurlarından (örneğin, CVE-2019-0604) yararlanılarak gerçekleştirilir.
Başarılı bir dayanağı, bir hata sayfası gibi görünen ancak dizinleri numaralandırma, süreçler oluşturma, dosya yükleme ve hizmetleri başlatma/durdurma/listeleme yeteneğine sahip, Karma Shell adı verilen evde hazırlanmış bir kabuk da dahil olmak üzere web kabuklarının konuşlandırılması izler.
Void Manticore’un, daha önce Scarred Manticore (diğer adıyla Storm-0861) tarafından elde edilen erişimi kendi izinsiz girişlerini gerçekleştirmek için kullandığından şüpheleniliyor ve bu da iki tehdit aktörü arasında bir “transfer” prosedürünün altını çiziyor.
Bu yüksek seviyedeki işbirliği daha önce Microsoft tarafından 2022’de Arnavutluk hükümetlerini hedef alan saldırılara ilişkin kendi soruşturmasında da vurgulanmış, buna birden fazla İranlı aktörün katıldığı ve farklı aşamalardan sorumlu oldukları belirtilmişti.
- Storm-0861 ilk erişime kavuştu ve verilere sızdırıldı
- Storm-0842, fidye yazılımını ve temizleme kötü amaçlı yazılımını dağıttı
- Storm-0166’dan sızdırılan veriler
- Storm-0133 kurban altyapısını araştırdı
Storm-0861’in, Shamoon ve ZeroCleare zararlı yazılımlarıyla tanınan İranlı bir ulus-devlet grubu olan APT34 (aka Cobalt Gypsy, Hazel Sandstorm, Helix Kitten ve OilRig) içerisinde ikincil bir unsur olarak değerlendirildiğini de belirtmekte fayda var.
Check Point, “İsrail ve Arnavutluk’a yönelik saldırılarda kullanılan tekniklerdeki örtüşmeler ve iki farklı aktör arasındaki koordinasyon, bu sürecin rutin hale geldiğini gösteriyor.” dedi.
“Void Manticore’un operasyonları, psikolojik savaşı gerçek veri imhasıyla birleştiren ikili yaklaşımıyla karakterize ediliyor. Bu, silme saldırıları kullanmaları ve kamuya bilgi sızdırmaları yoluyla elde ediliyor ve böylece hedeflenen kuruluşlar üzerindeki yıkımı artırıyor.”