İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı İranlı bir tehdit aktörü, İsrail ve Arnavutluk’u hedef almak için yıkıcı veri silme saldırılarını etkileme operasyonlarıyla birleştiriyor.
Void Manticore, diğer adıyla Storm-842 olarak takip edilen tehdit aktörü, Arnavutluk’taki saldırılar için birincil takma adı “Vatan Adaleti” ve İsrail’dekiler için “Karma” olan birden fazla çevrimiçi kişi altında faaliyet gösteriyor.
Check Point Research, Ekim 2023’ten bu yana Void Manticore’un, silecekler ve fidye yazılımları kullanarak yıkıcı saldırılarla İsrail kuruluşlarını hedef alan faaliyetlerini izliyor. Grup, yıkıcı işlemler için hem Windows hem de Linux işletim sistemleri için özel sileceklerin yanı sıra dosyaların ve ortak sürücülerin manuel olarak silinmesi de dahil olmak üzere beş farklı yöntem kullanıyor.
Void Manticore’un İsrail’deki faaliyetleri, İsrail Başbakanı Benjamin Netanyahu’nun anısına “BiBi” adı verilen özel bir silecek kullanılmasıyla dikkat çekiyor. Grup ayrıca çalıntı bilgileri sızdırmak için “Karma” adlı bir kişiyi kullanıyor ve kendilerini Siyonist karşıtı bir Yahudi grup olarak gösteriyor. Bu kişilik, 2023’ün sonlarında İsrail-Hamas çatışması sırasında ön plana çıktı.
Void Manticore tehdit aktörü, genellikle kamuya açık temel araçları kullanarak nispeten basit ve doğrudan teknikler kullanıyor. Operasyonları genellikle Uzak Masaüstü Protokolü (RDP) kullanan yanal hareketleri ve sileceklerin manuel olarak konuşlandırılmasını içerir. Öne çıkan araçlarından biri, hata sayfası olarak gizlenen, kendi kendine oluşturulmuş bir web kabuğu olan “Karma Shell”dir. Bu kötü amaçlı kabuk, dizin listeleme, süreç oluşturma, dosya yükleme ve hizmet yönetimi özelliklerine sahiptir.
Void Manticore’un Yıkıcı Silecek Yetenekleri
Void Manticore, saldırılarında çeşitli özel silecekler kullanır:
- Cl Silecek: İlk olarak Arnavutluk’a yönelik saldırılarda kullanılan bu temizleyici, dosyalar ve bölümlerle etkileşimde bulunmak için ElRawDisk sürücüsünü kullanıyor ve önceden tanımlanmış arabelleklerle fiziksel sürücülerin üzerine yazarak verileri etkili bir şekilde siliyor.
- Bölme Silecekleri: Bu silecekler bölüm bilgilerini kaldırır, bölüm tablosunu bozarak diskteki tüm verilerin kaybolmasına ve yeniden başlatma sırasında sistemin çökmesine neden olur.
- BiBi Silecek: İsrail’e yönelik son saldırılarda kullanılan bu silicinin hem Linux hem de Windows versiyonları mevcuttur. Dosyaları bozar ve bunları belirli uzantılarla yeniden adlandırarak önemli veri kaybına neden olur.
Otomatik sileceklerin yanı sıra Void Manticore, Windows Explorer, SysInternals SDelete ve Windows Format yardımcı programı gibi araçları kullanarak manuel veri imhası gerçekleştirerek hedeflenen sistemler üzerindeki etkisini daha da artırır.
Yaralı Mantikor ile Psikolojik Savaş ve İşbirliği
Void Manticore’un stratejisi aynı zamanda hassas bilgileri kamuya sızdırarak hedeflerinin moralini bozmayı ve sekteye uğratmayı amaçlayan psikolojik operasyonları da içeriyor. Bu ikili yaklaşım, siber saldırıların etkisini artırarak onları zorlu bir tehdit haline getiriyor.
Özellikle Void Manticore ile başka bir İranlı tehdit grubu olan Scarred Manticore (diğer adıyla Storm-861) arasında önemli bir örtüşme ve işbirliği var.
Analiz, kurbanların bu iki grup arasında sistematik bir şekilde dağıtıldığını gösteriyor. Örneğin, Scarred Manticore ilk erişimi sağlayabilir ve verileri sızdırabilir, ardından Void Manticore yıkıcı veri silme saldırısını gerçekleştirebilir. Bu işbirliği, Void Manticore tehdit aktörünün Scarred Manticore’un gelişmiş özelliklerinden yararlanmasını ve yüksek değerli hedeflere erişmesini sağlıyor.
“Bir kurban vakasında, Scarred Manticore’un hedeflenen ağda bir yılı aşkın bir süre ikamet ettikten sonra, tam da yeni bir web kabuğunun diske bırakıldığı anda virüslü makineyle etkileşime girdiğini keşfettik. Araştırmacılar, kabuğun konuşlandırılmasının ardından farklı bir IP kümesinin ağa erişmeye başladığını ve bu durumun başka bir aktörün (Void Manticore) olaya dahil olduğunu akla getirdiğini söyledi.
“Yeni konuşlandırılan web kabuğu ve sonraki araçlar, Scarred Manticore’un cephaneliğindekilerden çok daha az karmaşıktı. Ancak Karma’nın faaliyetleriyle bağlantılı olan BiBi sileceğin devreye girmesine yol açtılar.”
Void Manticore, özellikle İran’ı ilgilendiren jeopolitik gerilimler bağlamında önemli bir siber tehdidi temsil ediyor. İran Cumhurbaşkanı İbrahim Raisi, ülkenin uzak bir bölgesinde meydana gelen helikopter kazasında hayatını kaybetti. Kurtarma ekipleri, Azerbaycan sınırı yakınındaki dağlık kuzeybatıda arama yaptıktan sonra Pazartesi günü erken saatlerde Raisi’nin cesedini tespit etti.
Raisi, 2021’deki seçilmesinden bu yana ahlak yasalarını sıkılaştırdı, hükümet karşıtı protestoları bastırdı ve Tahran’ın nükleer programının uluslararası denetimine direndi. İsrail’in Gazze’deki savaşı, Lübnan’daki Hizbullah ve Yemen’deki Husiler gibi İran destekli gruplarla çatışmaları artırdı. Geçtiğimiz ay İran ve İsrail karşılıklı olarak doğrudan saldırı düzenledi. Raisi’nin ölümünün İsrail operasyonlarıyla da bağlantılı olup olmadığı henüz belli değil.
Bu arada, son zamanlardaki artışlar, Void Manticore’un Scarred Manticore ile koordineli operasyonlarının teknik yıkım ve psikolojik manipülasyon şeklindeki ikili yaklaşımını birleştirdiği ve onları son derece tehlikeli bir aktör olarak konumlandırdığı anlamına geliyordu. Faaliyetleri yalnızca altyapıyı hedef almakla kalmıyor, aynı zamanda modern siber savaşın çok yönlü doğasının altını çizerek kamusal algıyı ve siyasi istikrarı da etkilemeyi amaçlıyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.