近日,伊朗国家黑客组织用数据擦除器对以色列40家重要组织实施了大规模的网络攻击活动。
双拳出击
根据Check Point Research的研究报告,伊朗情报和安全部(MOIS)麾下有两个高级黑客组织(APT),其中一个名为Scarred Manticore(疤面蝎狮,也称Storm-861),是伊朗最顶尖的间谍黑客组织,常年对中东及其他地区的高价值组织进行监视。该组织的攻击效率很高,获取了很多高价值目标的初始访问权限;另一个MOIS的高级黑客组织Void Manticore(也称Storm-842)也会利用Scarred Manticore获得的初始访问权限,开展自己的破坏性活动。
据报道,到目前为止,Void Manticore声称已成功攻击了超过40个以色列组织,并在阿尔巴尼亚也发起多次高调的攻击活动。
协同作战
这两个伊朗黑客组织之间的合作模式简单且高效,充分利用了各自的优势。
Check Point对Void Manticore的攻击和信息泄露进行分析后发现,其受害者与Scarred Manticore的受害者群体存在显著重叠,表明这两个组织之间存在合作,某些案例中还发现有明确的“交接”程序(下图):
首先,Scarred Manticore进行间谍活动,通过其复杂的无文件Liontail恶意软件框架静悄悄地执行电子邮件数据泄露,通常持续超过一年。
当发生一些升级事件时,比如以色列哈马斯之间爆发冲突,攻击策略的重点从网络间谍活动转向舆论影响和设施破坏行动,这时就轮到Void Manticore开始施展拳脚。
Void Manticore采用的技术、策略和程序(TTP)相对简单粗暴,主要使用简单且大部分公开可用的工具发动攻击,例如使用远程桌面协议(RDP)进行横向移动,并手动部署数据擦除器。
与更为老练的Scarred Manticore的合作有助于Void Manticore接触高价值目标。
破坏行动
Void Manticore在以色列的行动使用“Karma”的代号。
以色列与哈马斯冲突爆发后不久,Karma就通过Telegram Channel介入冲突,并于2023年11月推出一个主题为反犹太复国主义的犹太黑客网站,发动反对以色列政府,特别是本杰明·内塔尼亚胡的舆论攻势。Karma声称自己是政府军事行动引发的“蝴蝶效应”的产物,因此使用蝴蝶图标作为其标志的一部分。
Karma的另一个任务是彻底的破坏(擦除数据)。该组织使用常见的公开工具(如用于横向移动的RDP和reGeorg Web shell),他们的目标是删除以色列组织的文件,有时甚至手动删除文件和共享驱动器。
Void Manticore还拥有一系列定制的数据擦除器,可以大致分为两类。一类是设计用于破坏特定文件或文件类型的,采用更有针对性的方法。另一类则针对分区表,即主机系统中负责映射磁盘中文件位置的部分。通过破坏分区表,磁盘上的数据虽然未被触动但无法访问。
自首次出现以来,Karma声称已成功针对40多个以色列组织,其中包括几个高价值目标。攻击方式包括擦除、窃取和发布受害者的数据。
防御策略
对于防御者来说,同时对抗两个分工协作的国家级APT黑客组织颇具挑战性。因为他们各自拥有不同的工具、基础设施、战术、技术和程序(TTPs)。Check point的报告指出:“这是一个新趋势,但还没有人对此进行深入思考。”
两个伊朗APT组织之间交接到破坏开始的时间窗口非常短,因此更简单有效的防御路径可能是专注于初始威胁(尽管它更复杂),因为间谍活动通常比破坏活动持续时间更长。当破坏性行为者获得网络访问权限时,几乎会立即进行操作。
报告指出,任何组织都可以采取简单的防御措施来阻止协同作战的APT组织中的一个。例如,Void Manticore的简单TTPs可以通过有效的端点安全措施来阻止。
即使是Scarred Manticore这种隐蔽的间谍活动也可以在源头上被阻断。在大多数情况下,Scarred Manticore通过利用CVE-2019-0604漏洞(一个严重但已有五年历史的微软Sharepoint漏洞)开始攻击。“这并不是一个零日漏洞,所以完全是可以预防的。