İran devleti destekli tehdit aktörleri, Arnavutluk ve İsrail’deki büyük kuruluşlar üzerinde casusluk yapmak ve ardından onlara zarar vermek için yakın bir şekilde çalışıyor.
İran İstihbarat ve Güvenlik Bakanlığı (MOIS) bağlantılı Scarred Manticore (aka Storm-861), İran’ın en gelişmiş casusluk aktörü, bir süredir Orta Doğu ve ötesindeki yüksek değerli kuruluşlar hakkında casusluk yapıyor. Grup yaptığı işte o kadar etkili ki, aslında tamamen farklı bir MOIS gelişmiş kalıcı tehdidi (APT) – Void Manticore (diğer adıyla Storm-842) – kendi yıkıcı kampanyalarını başlatmak için ilk erişimini kullanıyor.
Void Manticore bugüne kadar 40’tan fazla İsrailli örgütü başarıyla hedef aldığını iddia ediyor. Arnavutluk’ta yüksek profilli kampanyalar ilave olarak.
Geçersiz Mantikor, Yaralı Mantikor
Açıklandığı gibi Check Point Research’ten bir blog yazısıMantikorlar arasındaki düzenleme basittir ve her grubun güçlü yanlarından yararlanır.
İlk olarak casusluk işini Scarred Manticore yapıyor. Akıllı, dosyasız Liontail kötü amaçlı yazılım çerçevesi, genellikle bir yıldan uzun bir süre boyunca e-posta veri sızıntısını sessizce gerçekleştirmesine olanak tanır.
Ardından, Check Point’teki tehdit istihbaratı grup yöneticisi Sergey Shykevich şöyle diyor: “Arnavutluk’taki Halkın Mücahitleri (MEK) veya İsrail’deki savaş gibi bazı gerginlikler olduğunda, hükümette şu kararı veren bir karar verici var: ‘ Hadi gidip casusluk amacıyla siber erişimimizi yakalım ve bunun yerine etki ve yıkıcı operasyonlar gerçekleştirelim.’ Daha sonra bunu aynı organizasyona odaklanan diğer aktöre aktarıyorlar.”
Scarred Manticore’un keskin ve incelikli olduğu yerde, Void Manticore gürültülü ve dağınıktır.
Operasyonun bir kısmı, Void Manticore’un altında faaliyet gösterdiği hack-and-leaks ile ilgili. sahteci kişi Arnavutluk ile ilgili kampanyalar için Vatan Adaleti ve İsrail için Karma.
Grubun diğer işi ise tamamen yıkımdır. Yanal hareket için uzak masaüstü protokolü (RDP) ve reGeorg Web kabuğu gibi büyük ölçüde temel ve kamuya açık araçları kullanarak bir kuruluşun dosyalarını hedefler ve ardından sallanmaya başlar. Bazen bu, dosyaların ve ortak Drive’ların manuel olarak silinmesini de içerir.
Grubun ayrıca genel olarak iki kategoride düşünülebilecek özel sileceklerden oluşan bir cephaneliği de var. Bazıları, daha hedefe yönelik bir yaklaşımla belirli dosyaları veya dosya türlerini bozmak için tasarlanmıştır.
Diğer Void Manticore silecekleri, ana sistemin, dosyaların diskte nerede bulunduğunu haritalandırmaktan sorumlu kısmı olan bölümleme tablosunu hedefler. Bölümleme tablosunun bozulmasıyla diskteki verilere dokunulmaz ancak erişilemez durumda kalır.
İkiye Bir Karşı Mücadele
İran’ın devlet düzeyindeki saldırılarına maruz kalan kuruluşlar, her birinin kendi araçları, altyapısı, taktikleri, teknikleri ve prosedürleri (TTP’ler) olan iki farklı tehdit aktörüne karşı savunmayı ekstra zorlayıcı bulabilir. Shykevich, “Bu yeni bir fenomen” diye itiraf ediyor, “bu yüzden henüz kimsenin bu konu hakkında derinlemesine düşündüğünü sanmıyorum.”
Daha kolay yol, daha karmaşık olmasına rağmen ilk tehdide odaklanmak olabilir çünkü casusluk kampanyaları genellikle yıkıcı olanlardan çok daha uzun sürer. “Biri yıkıcı aktörle karşılaştığında hemen harekete geçmelidir. Yıkıcı aktörün ağa erişim sağladığında neredeyse anında faaliyete geçtiğini gördük. Dolayısıyla, bu iki aktör arasındaki yıkımın başlamasından önceki devirden itibaren geçen zaman dilimi çok uzun. küçük” diyor.
Ayrıca herhangi bir kuruluşun her iki grubu da dışarıda tutmak için hazırlayabileceği basit savunmalar vardır. Void Manticore’un basit TTP’leri genellikle yetkin uç nokta güvenliğiyle engellenebilir.
Scarred Manticore’un gizli casusluğu bile kaynağında erkenden kesilebilir. Çoğu durumda saldırılarına şu şekilde başlar: CVE-2019-0604’ün kullanılması, kritik ancak yarım on yıllık bir Microsoft Sharepoint güvenlik açığı. Shykevich “Yani bu önlenebilir” diyor. “Bu bir sıfır gün ya da bunu önlemenin sıfır yolunun olduğu başka bir şey değil.”