近日，伊朗国家黑客组织用数据擦除器对以色列40家重要组织实施了大规模的网络攻击活动。

双拳出击

根据Check Point Research的研究报告，伊朗情报和安全部（MOIS）麾下有两个高级黑客组织（APT），其中一个名为Scarred Manticore（疤面蝎狮，也称Storm-861），是伊朗最顶尖的间谍黑客组织，常年对中东及其他地区的高价值组织进行监视。该组织的攻击效率很高，获取了很多高价值目标的初始访问权限；另一个MOIS的高级黑客组织Void Manticore（也称Storm-842）也会利用Scarred Manticore获得的初始访问权限，开展自己的破坏性活动。

据报道，到目前为止，Void Manticore声称已成功攻击了超过40个以色列组织，并在阿尔巴尼亚也发起多次高调的攻击活动。

协同作战

这两个伊朗黑客组织之间的合作模式简单且高效，充分利用了各自的优势。

Check Point对Void Manticore的攻击和信息泄露进行分析后发现，其受害者与Scarred Manticore的受害者群体存在显著重叠，表明这两个组织之间存在合作，某些案例中还发现有明确的“交接”程序（下图）：

首先，Scarred Manticore进行间谍活动，通过其复杂的无文件Liontail恶意软件框架静悄悄地执行电子邮件数据泄露，通常持续超过一年。

当发生一些升级事件时，比如以色列哈马斯之间爆发冲突，攻击策略的重点从网络间谍活动转向舆论影响和设施破坏行动，这时就轮到Void Manticore开始施展拳脚。

Void Manticore采用的技术、策略和程序(TTP)相对简单粗暴，主要使用简单且大部分公开可用的工具发动攻击，例如使用远程桌面协议(RDP)进行横向移动，并手动部署数据擦除器。

与更为老练的Scarred Manticore的合作有助于Void Manticore接触高价值目标。

破坏行动

Void Manticore在以色列的行动使用“Karma”的代号。

以色列与哈马斯冲突爆发后不久，Karma就通过Telegram Channel介入冲突，并于2023年11月推出一个主题为反犹太复国主义的犹太黑客网站，发动反对以色列政府，特别是本杰明·内塔尼亚胡的舆论攻势。Karma声称自己是政府军事行动引发的“蝴蝶效应”的产物，因此使用蝴蝶图标作为其标志的一部分。

Karma的另一个任务是彻底的破坏（擦除数据）。该组织使用常见的公开工具（如用于横向移动的RDP和reGeorg Web shell），他们的目标是删除以色列组织的文件，有时甚至手动删除文件和共享驱动器。

Void Manticore还拥有一系列定制的数据擦除器，可以大致分为两类。一类是设计用于破坏特定文件或文件类型的，采用更有针对性的方法。另一类则针对分区表，即主机系统中负责映射磁盘中文件位置的部分。通过破坏分区表，磁盘上的数据虽然未被触动但无法访问。

自首次出现以来，Karma声称已成功针对40多个以色列组织，其中包括几个高价值目标。攻击方式包括擦除、窃取和发布受害者的数据。

防御策略

对于防御者来说，同时对抗两个分工协作的国家级APT黑客组织颇具挑战性。因为他们各自拥有不同的工具、基础设施、战术、技术和程序（TTPs）。Check point的报告指出：“这是一个新趋势，但还没有人对此进行深入思考。”

两个伊朗APT组织之间交接到破坏开始的时间窗口非常短，因此更简单有效的防御路径可能是专注于初始威胁（尽管它更复杂），因为间谍活动通常比破坏活动持续时间更长。当破坏性行为者获得网络访问权限时，几乎会立即进行操作。

报告指出，任何组织都可以采取简单的防御措施来阻止协同作战的APT组织中的一个。例如，Void Manticore的简单TTPs可以通过有效的端点安全措施来阻止。

即使是Scarred Manticore这种隐蔽的间谍活动也可以在源头上被阻断。在大多数情况下，Scarred Manticore通过利用CVE-2019-0604漏洞（一个严重但已有五年历史的微软Sharepoint漏洞）开始攻击。“这并不是一个零日漏洞，所以完全是可以预防的。

参考链接：

https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel/

来源：GoUpSec