近日，伊朗國(guó)家黑客組織用數(shù)據(jù)擦除器對(duì)以色列40家重要組織實(shí)施了大規(guī)模的網(wǎng)絡(luò)攻擊活動(dòng)。

雙拳出擊

根據(jù)Check Point Research的研究報(bào)告，伊朗情報(bào)和安全部（MOIS）麾下有兩個(gè)高級(jí)黑客組織（APT），其中一個(gè)名為Scarred Manticore（疤面蝎獅，也稱(chēng)Storm-861），是伊朗最頂尖的間諜黑客組織，常年對(duì)中東及其他地區(qū)的高價(jià)值組織進(jìn)行監(jiān)視。該組織的攻擊效率很高，獲取了很多高價(jià)值目標(biāo)的初始訪(fǎng)問(wèn)權(quán)限；另一個(gè)MOIS的高級(jí)黑客組織Void Manticore（也稱(chēng)Storm-842）也會(huì)利用Scarred Manticore獲得的初始訪(fǎng)問(wèn)權(quán)限，開(kāi)展自己的破壞性活動(dòng)。

據(jù)報(bào)道，到目前為止，Void Manticore聲稱(chēng)已成功攻擊了超過(guò)40個(gè)以色列組織，并在阿爾巴尼亞也發(fā)起多次高調(diào)的攻擊活動(dòng)。

協(xié)同作戰(zhàn)

這兩個(gè)伊朗黑客組織之間的合作模式簡(jiǎn)單且高效，充分利用了各自的優(yōu)勢(shì)。

Check Point對(duì)Void Manticore的攻擊和信息泄露進(jìn)行分析后發(fā)現(xiàn)，其受害者與Scarred Manticore的受害者群體存在顯著重疊，表明這兩個(gè)組織之間存在合作，某些案例中還發(fā)現(xiàn)有明確的“交接”程序（下圖）：

首先，Scarred Manticore進(jìn)行間諜活動(dòng)，通過(guò)其復(fù)雜的無(wú)文件Liontail惡意軟件框架靜悄悄地執(zhí)行電子郵件數(shù)據(jù)泄露，通常持續(xù)超過(guò)一年。

當(dāng)發(fā)生一些升級(jí)事件時(shí)，比如以色列哈馬斯之間爆發(fā)沖突，攻擊策略的重點(diǎn)從網(wǎng)絡(luò)間諜活動(dòng)轉(zhuǎn)向輿論影響和設(shè)施破壞行動(dòng)，這時(shí)就輪到Void Manticore開(kāi)始施展拳腳。

Void Manticore采用的技術(shù)、策略和程序(TTP)相對(duì)簡(jiǎn)單粗暴，主要使用簡(jiǎn)單且大部分公開(kāi)可用的工具發(fā)動(dòng)攻擊，例如使用遠(yuǎn)程桌面協(xié)議(RDP)進(jìn)行橫向移動(dòng)，并手動(dòng)部署數(shù)據(jù)擦除器。

與更為老練的Scarred Manticore的合作有助于Void Manticore接觸高價(jià)值目標(biāo)。

破壞行動(dòng)

Void Manticore在以色列的行動(dòng)使用“Karma”的代號(hào)。

以色列與哈馬斯沖突爆發(fā)后不久，Karma就通過(guò)Telegram Channel介入沖突，并于2023年11月推出一個(gè)主題為反猶太復(fù)國(guó)主義的猶太黑客網(wǎng)站，發(fā)動(dòng)反對(duì)以色列政府，特別是本杰明·內(nèi)塔尼亞胡的輿論攻勢(shì)。Karma聲稱(chēng)自己是政府軍事行動(dòng)引發(fā)的“蝴蝶效應(yīng)”的產(chǎn)物，因此使用蝴蝶圖標(biāo)作為其標(biāo)志的一部分。

Karma的另一個(gè)任務(wù)是徹底的破壞（擦除數(shù)據(jù)）。該組織使用常見(jiàn)的公開(kāi)工具（如用于橫向移動(dòng)的RDP和reGeorg Web shell），他們的目標(biāo)是刪除以色列組織的文件，有時(shí)甚至手動(dòng)刪除文件和共享驅(qū)動(dòng)器。

Void Manticore還擁有一系列定制的數(shù)據(jù)擦除器，可以大致分為兩類(lèi)。一類(lèi)是設(shè)計(jì)用于破壞特定文件或文件類(lèi)型的，采用更有針對(duì)性的方法。另一類(lèi)則針對(duì)分區(qū)表，即主機(jī)系統(tǒng)中負(fù)責(zé)映射磁盤(pán)中文件位置的部分。通過(guò)破壞分區(qū)表，磁盤(pán)上的數(shù)據(jù)雖然未被觸動(dòng)但無(wú)法訪(fǎng)問(wèn)。

自首次出現(xiàn)以來(lái)，Karma聲稱(chēng)已成功針對(duì)40多個(gè)以色列組織，其中包括幾個(gè)高價(jià)值目標(biāo)。攻擊方式包括擦除、竊取和發(fā)布受害者的數(shù)據(jù)。

防御策略

對(duì)于防御者來(lái)說(shuō)，同時(shí)對(duì)抗兩個(gè)分工協(xié)作的國(guó)家級(jí)APT黑客組織頗具挑戰(zhàn)性。因?yàn)樗麄兏髯該碛胁煌墓ぞ?、基礎(chǔ)設(shè)施、戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。Check point的報(bào)告指出：“這是一個(gè)新趨勢(shì)，但還沒(méi)有人對(duì)此進(jìn)行深入思考?！?/p>

兩個(gè)伊朗APT組織之間交接到破壞開(kāi)始的時(shí)間窗口非常短，因此更簡(jiǎn)單有效的防御路徑可能是專(zhuān)注于初始威脅（盡管它更復(fù)雜），因?yàn)殚g諜活動(dòng)通常比破壞活動(dòng)持續(xù)時(shí)間更長(zhǎng)。當(dāng)破壞性行為者獲得網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限時(shí)，幾乎會(huì)立即進(jìn)行操作。

報(bào)告指出，任何組織都可以采取簡(jiǎn)單的防御措施來(lái)阻止協(xié)同作戰(zhàn)的APT組織中的一個(gè)。例如，Void Manticore的簡(jiǎn)單TTPs可以通過(guò)有效的端點(diǎn)安全措施來(lái)阻止。

即使是Scarred Manticore這種隱蔽的間諜活動(dòng)也可以在源頭上被阻斷。在大多數(shù)情況下，Scarred Manticore通過(guò)利用CVE-2019-0604漏洞（一個(gè)嚴(yán)重但已有五年歷史的微軟Sharepoint漏洞）開(kāi)始攻擊?！斑@并不是一個(gè)零日漏洞，所以完全是可以預(yù)防的。