近日，伊朗國家黑客組織用數(shù)據(jù)擦除器對以色列40家重要組織實施了大規(guī)模的網(wǎng)絡(luò)攻擊活動。

雙拳出擊

根據(jù)Check Point Research的研究報告，伊朗情報和安全部（MOIS）麾下有兩個高級黑客組織（APT），其中一個名為Scarred Manticore（疤面蝎獅，也稱Storm-861），是伊朗最頂尖的間諜黑客組織，常年對中東及其他地區(qū)的高價值組織進行監(jiān)視。該組織的攻擊效率很高，獲取了很多高價值目標的初始訪問權(quán)限；另一個MOIS的高級黑客組織Void Manticore（也稱Storm-842）也會利用Scarred Manticore獲得的初始訪問權(quán)限，開展自己的破壞性活動。

據(jù)報道，到目前為止，Void Manticore聲稱已成功攻擊了超過40個以色列組織，并在阿爾巴尼亞也發(fā)起多次高調(diào)的攻擊活動。

協(xié)同作戰(zhàn)

這兩個伊朗黑客組織之間的合作模式簡單且高效，充分利用了各自的優(yōu)勢。

Check Point對Void Manticore的攻擊和信息泄露進行分析后發(fā)現(xiàn)，其受害者與Scarred Manticore的受害者群體存在顯著重疊，表明這兩個組織之間存在合作，某些案例中還發(fā)現(xiàn)有明確的“交接”程序（下圖）：

首先，Scarred Manticore進行間諜活動，通過其復(fù)雜的無文件Liontail惡意軟件框架靜悄悄地執(zhí)行電子郵件數(shù)據(jù)泄露，通常持續(xù)超過一年。

當發(fā)生一些升級事件時，比如以色列哈馬斯之間爆發(fā)沖突，攻擊策略的重點從網(wǎng)絡(luò)間諜活動轉(zhuǎn)向輿論影響和設(shè)施破壞行動，這時就輪到Void Manticore開始施展拳腳。

Void Manticore采用的技術(shù)、策略和程序(TTP)相對簡單粗暴，主要使用簡單且大部分公開可用的工具發(fā)動攻擊，例如使用遠程桌面協(xié)議(RDP)進行橫向移動，并手動部署數(shù)據(jù)擦除器。

與更為老練的Scarred Manticore的合作有助于Void Manticore接觸高價值目標。

破壞行動

Void Manticore在以色列的行動使用“Karma”的代號。

以色列與哈馬斯沖突爆發(fā)后不久，Karma就通過Telegram Channel介入沖突，并于2023年11月推出一個主題為反猶太復(fù)國主義的猶太黑客網(wǎng)站，發(fā)動反對以色列政府，特別是本杰明·內(nèi)塔尼亞胡的輿論攻勢。Karma聲稱自己是政府軍事行動引發(fā)的“蝴蝶效應(yīng)”的產(chǎn)物，因此使用蝴蝶圖標作為其標志的一部分。

Karma的另一個任務(wù)是徹底的破壞（擦除數(shù)據(jù)）。該組織使用常見的公開工具（如用于橫向移動的RDP和reGeorg Web shell），他們的目標是刪除以色列組織的文件，有時甚至手動刪除文件和共享驅(qū)動器。

Void Manticore還擁有一系列定制的數(shù)據(jù)擦除器，可以大致分為兩類。一類是設(shè)計用于破壞特定文件或文件類型的，采用更有針對性的方法。另一類則針對分區(qū)表，即主機系統(tǒng)中負責映射磁盤中文件位置的部分。通過破壞分區(qū)表，磁盤上的數(shù)據(jù)雖然未被觸動但無法訪問。

自首次出現(xiàn)以來，Karma聲稱已成功針對40多個以色列組織，其中包括幾個高價值目標。攻擊方式包括擦除、竊取和發(fā)布受害者的數(shù)據(jù)。

防御策略

對于防御者來說，同時對抗兩個分工協(xié)作的國家級APT黑客組織頗具挑戰(zhàn)性。因為他們各自擁有不同的工具、基礎(chǔ)設(shè)施、戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。Check point的報告指出：“這是一個新趨勢，但還沒有人對此進行深入思考?！?/p>

兩個伊朗APT組織之間交接到破壞開始的時間窗口非常短，因此更簡單有效的防御路徑可能是專注于初始威脅（盡管它更復(fù)雜），因為間諜活動通常比破壞活動持續(xù)時間更長。當破壞性行為者獲得網(wǎng)絡(luò)訪問權(quán)限時，幾乎會立即進行操作。

報告指出，任何組織都可以采取簡單的防御措施來阻止協(xié)同作戰(zhàn)的APT組織中的一個。例如，Void Manticore的簡單TTPs可以通過有效的端點安全措施來阻止。

即使是Scarred Manticore這種隱蔽的間諜活動也可以在源頭上被阻斷。在大多數(shù)情況下，Scarred Manticore通過利用CVE-2019-0604漏洞（一個嚴重但已有五年歷史的微軟Sharepoint漏洞）開始攻擊?！斑@并不是一個零日漏洞，所以完全是可以預(yù)防的。