据报道,到目前为止,Void Manticore声称已成功攻击了超过40个以色列组织,并在阿尔巴尼亚也发起多次高调的攻击活动。
Check Point对Void Manticore的攻击和信息泄露进行分析后发现,其受害者与Scarred Manticore的受害者群体存在显著重叠,表明这两个组织之间存在合作,某些案例中还发现有明确的“交接”程序:
首先,Scarred Manticore进行间谍活动,通过其复杂的无文件Liontail恶意软件框架静悄悄地执行电子邮件数据泄露,通常持续超过一年。
当发生一些升级事件时,比如以色列哈马斯之间爆发冲突,攻击策略的重点从网络间谍活动转向舆论影响和设施破坏行动,这时就轮到Void Manticore开始施展拳脚。
Void Manticore采用的技术、策略和程序(TTP)相对简单粗暴,主要使用简单且大部分公开可用的工具发动攻击,例如使用远程桌面协议(RDP)进行横向移动,并手动部署数据擦除器。
与更为老练的Scarred Manticore的合作有助于Void Manticore接触高价值目标。
以色列与哈马斯冲突爆发后不久,Karma就通过Telegram Channel介入冲突,并于2023年11月推出一个主题为反犹太复国主义的犹太黑客网站,发动反对以色列政府,特别是本杰明·内塔尼亚胡的舆论攻势。Karma声称自己是政府军事行动引发的“蝴蝶效应”的产物,因此使用蝴蝶图标作为其标志的一部分。
Karma的另一个任务是彻底的破坏(擦除数据)。该组织使用常见的公开工具(如用于横向移动的RDP和reGeorg Web shell),他们的目标是删除以色列组织的文件,有时甚至手动删除文件和共享驱动器。
Void Manticore还拥有一系列定制的数据擦除器,可以大致分为两类。一类是设计用于破坏特定文件或文件类型的,采用更有针对性的方法。另一类则针对分区表,即主机系统中负责映射磁盘中文件位置的部分。通过破坏分区表,磁盘上的数据虽然未被触动但无法访问。
自首次出现以来,Karma声称已成功针对40多个以色列组织,其中包括几个高价值目标。攻击方式包括擦除、窃取和发布受害者的数据。
两个伊朗APT组织之间交接到破坏开始的时间窗口非常短,因此更简单有效的防御路径可能是专注于初始威胁(尽管它更复杂),因为间谍活动通常比破坏活动持续时间更长。当破坏性行为者获得网络访问权限时,几乎会立即进行操作。
报告指出,任何组织都可以采取简单的防御措施来阻止协同作战的APT组织中的一个。例如,Void Manticore的简单TTPs可以通过有效的端点安全措施来阻止。
即使是Scarred Manticore这种隐蔽的间谍活动也可以在源头上被阻断。在大多数情况下,Scarred Manticore通过利用CVE-2019-0604漏洞(一个严重但已有五年历史的微软Sharepoint漏洞)开始攻击。“这并不是一个零日漏洞,所以完全是可以预防的
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/76877.html