近日，伊朗國家黑客組織用數(shù)據(jù)擦除器對以色列40家重要組織實(shí)施了大規(guī)模的網(wǎng)絡(luò)攻擊活動。

雙拳出擊

根據(jù)Check Point Research的研究報(bào)告，伊朗情報(bào)和安全部（MOIS）麾下有兩個(gè)高級黑客組織（APT），其中一個(gè)名為Scarred Manticore（疤面蝎獅，也稱Storm-861），是伊朗最頂尖的間諜黑客組織，常年對中東及其他地區(qū)的高價(jià)值組織進(jìn)行監(jiān)視。該組織的攻擊效率很高，獲取了很多高價(jià)值目標(biāo)的初始訪問權(quán)限；另一個(gè)MOIS的高級黑客組織Void Manticore（也稱Storm-842）也會利用Scarred Manticore獲得的初始訪問權(quán)限，開展自己的破壞性活動。

據(jù)報(bào)道，到目前為止，Void Manticore聲稱已成功攻擊了超過40個(gè)以色列組織，并在阿爾巴尼亞也發(fā)起多次高調(diào)的攻擊活動。

協(xié)同作戰(zhàn)

這兩個(gè)伊朗黑客組織之間的合作模式簡單且高效，充分利用了各自的優(yōu)勢。

Check Point對Void Manticore的攻擊和信息泄露進(jìn)行分析后發(fā)現(xiàn)，其受害者與Scarred Manticore的受害者群體存在顯著重疊，表明這兩個(gè)組織之間存在合作，某些案例中還發(fā)現(xiàn)有明確的“交接”程序（下圖）：

首先，Scarred Manticore進(jìn)行間諜活動，通過其復(fù)雜的無文件Liontail惡意軟件框架靜悄悄地執(zhí)行電子郵件數(shù)據(jù)泄露，通常持續(xù)超過一年。

當(dāng)發(fā)生一些升級事件時(shí)，比如以色列哈馬斯之間爆發(fā)沖突，攻擊策略的重點(diǎn)從網(wǎng)絡(luò)間諜活動轉(zhuǎn)向輿論影響和設(shè)施破壞行動，這時(shí)就輪到Void Manticore開始施展拳腳。

Void Manticore采用的技術(shù)、策略和程序(TTP)相對簡單粗暴，主要使用簡單且大部分公開可用的工具發(fā)動攻擊，例如使用遠(yuǎn)程桌面協(xié)議(RDP)進(jìn)行橫向移動，并手動部署數(shù)據(jù)擦除器。

與更為老練的Scarred Manticore的合作有助于Void Manticore接觸高價(jià)值目標(biāo)。

破壞行動

Void Manticore在以色列的行動使用“Karma”的代號。

以色列與哈馬斯沖突爆發(fā)后不久，Karma就通過Telegram Channel介入沖突，并于2023年11月推出一個(gè)主題為反猶太復(fù)國主義的猶太黑客網(wǎng)站，發(fā)動反對以色列政府，特別是本杰明·內(nèi)塔尼亞胡的輿論攻勢。Karma聲稱自己是政府軍事行動引發(fā)的“蝴蝶效應(yīng)”的產(chǎn)物，因此使用蝴蝶圖標(biāo)作為其標(biāo)志的一部分。

Karma的另一個(gè)任務(wù)是徹底的破壞（擦除數(shù)據(jù)）。該組織使用常見的公開工具（如用于橫向移動的RDP和reGeorg Web shell），他們的目標(biāo)是刪除以色列組織的文件，有時(shí)甚至手動刪除文件和共享驅(qū)動器。

Void Manticore還擁有一系列定制的數(shù)據(jù)擦除器，可以大致分為兩類。一類是設(shè)計(jì)用于破壞特定文件或文件類型的，采用更有針對性的方法。另一類則針對分區(qū)表，即主機(jī)系統(tǒng)中負(fù)責(zé)映射磁盤中文件位置的部分。通過破壞分區(qū)表，磁盤上的數(shù)據(jù)雖然未被觸動但無法訪問。

自首次出現(xiàn)以來，Karma聲稱已成功針對40多個(gè)以色列組織，其中包括幾個(gè)高價(jià)值目標(biāo)。攻擊方式包括擦除、竊取和發(fā)布受害者的數(shù)據(jù)。

防御策略

對于防御者來說，同時(shí)對抗兩個(gè)分工協(xié)作的國家級APT黑客組織頗具挑戰(zhàn)性。因?yàn)樗麄兏髯該碛胁煌墓ぞ?、基礎(chǔ)設(shè)施、戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。Check point的報(bào)告指出：“這是一個(gè)新趨勢，但還沒有人對此進(jìn)行深入思考。”

兩個(gè)伊朗APT組織之間交接到破壞開始的時(shí)間窗口非常短，因此更簡單有效的防御路徑可能是專注于初始威脅（盡管它更復(fù)雜），因?yàn)殚g諜活動通常比破壞活動持續(xù)時(shí)間更長。當(dāng)破壞性行為者獲得網(wǎng)絡(luò)訪問權(quán)限時(shí)，幾乎會立即進(jìn)行操作。

報(bào)告指出，任何組織都可以采取簡單的防御措施來阻止協(xié)同作戰(zhàn)的APT組織中的一個(gè)。例如，Void Manticore的簡單TTPs可以通過有效的端點(diǎn)安全措施來阻止。

即使是Scarred Manticore這種隱蔽的間諜活動也可以在源頭上被阻斷。在大多數(shù)情況下，Scarred Manticore通過利用CVE-2019-0604漏洞（一個(gè)嚴(yán)重但已有五年歷史的微軟Sharepoint漏洞）開始攻擊?！斑@并不是一個(gè)零日漏洞，所以完全是可以預(yù)防的。