Активность иранских государственных хакеров, известных под именами Handala Hack, Karma и Homeland Justice, вышла за пределы их традиционных целей в Израиле и Албании и теперь представляет прямую угрозу для бизнеса в США. Эксперты Check Point Research в своём новом отчёте детально проанализировали эволюцию тактик этой группы, которая, сохраняя базовые подходы к разрушительным атакам, начала применять новые инструменты, включая искусственный интеллект для создания вредоносных скриптов и туннельное ПО для скрытного перемещения внутри сетей жертв. Этот тренд указывает на растущую изощрённость иранских угроз, нацеленных на причинение максимального операционного и репутационного ущерба.
Описание
Группа, отслеживаемая аналитиками как Void Manticore (также известная как Red Sandstorm или Banished Kitten), тесно связана с Министерством разведки и национальной безопасности Ирана (MOIS). Её оперативные алиасы - Handala Hack, Homeland Justice и Karma - использовались в скоординированных кампаниях против государственных структур, телекоммуникационных компаний и частного бизнеса. Недавно в фокусе группы, в частности под брендом Handala Hack, оказались американские организации, включая крупного производителя медицинского оборудования Stryker. Это свидетельствует о расширении геополитических амбиций иранских операторов и их готовности атаковать критическую инфраструктуру и коммерческие интересы на территории США.
Несмотря на смену целей, ядро методик группы остаётся консервативным. Void Manticore по-прежнему полагается на ручное, «живое» проникновение в сети после получения первоначального доступа, что часто достигается путём компрометации учётных данных для корпоративных VPN. Однако в 2025-2026 годах аналитики зафиксировали новые элементы в арсенале хакеров. Ключевым нововведением стало использование платформы NetBird, предназначенной для создания защищённых mesh-сетей с нулевым доверием. Злоумышленники вручную разворачивали это легитимное ПО на скомпрометированных хостах, чтобы построить туннели для скрытного перемещения между системами, которые не были напрямую доступны извне. Это позволило им эффективно контролировать атаку из нескольких точек внутри сети одновременно.
Наиболее разрушительная фаза атак Handala Hack характеризуется применением сразу нескольких параллельных методик стирания данных для гарантированного причинения ущерба. Традиционно группа использовала как собственные разработки, так и общедоступные утилиты. В недавних инцидентах к этому арсеналу добавился PowerShell-скрипт для удаления файлов, который, судя по структуре кода и подробным комментариям, был создан с помощью систем искусственного интеллекта. Этот скрипт, распространяемый через групповые политики Active Directory, рекурсивно удалял содержимое пользовательских каталогов, а затем размещал на всех логических дисках пропагандистское изображение в формате GIF. Параллельно атакующие развёртывали собственный випер под названием Handala Wiper, который портил данные и Master Boot Record, использовали легитимный шифровальщик VeraCrypt для блокировки дисков и прибегали к ручному удалению файлов и виртуальных машин.
С точки зрения защиты, действия Void Manticore подчёркивают критическую важность базовых, но зачастую игнорируемых мер безопасности. Поскольку группа активно использует скомпрометированные учётные данные для доступа через VPN и последующего перемещения по RDP, обязательным минимумом становится повсеместное внедрение многофакторной аутентификации для всех привилегированных и удалённых учётных записей. Не менее важен постоянный мониторинг аномальной активности аутентификации: входы из новых для организации географических регионов, попытки доступа вне рабочих часов, множественные неудачные попытки входа, за которыми следует успешная, а также подключения с устройств, имеющих стандартные имена Windows вроде DESKTOP-XXXXXX.
Сетевые периметры и системы удалённого доступа рекомендуется настроить на блокировку трафика, исходящего из Ирана и из диапазонов IP-адресов спутникового интернет-сервиса Starlink, который, по наблюдениям аналитиков, стал активно использоваться иранскими акторами после внутренних интернет-сбоев. Там, где полная блокировка невозможна, необходим усиленный мониторинг и усложнённые процедуры проверки для подключений из этих сегментов. Также следует ограничить или полностью отключить протокол RDP там, где он не требуется для бизнес-процессов, и вести активный поиск несанкционированных туннельных утилит и ПО для удалённого управления в корпоративной сети.
Таким образом, хотя тактический арсенал Void Manticore пополнился новыми инструментами, его фундаментальная уязвимость остаётся прежней - зависимость от украденных учётных данных и недостаточно защищённых точек входа. Систематическое применение базовых принципов гигиены безопасности, жёсткий контроль доступа и внимательный мониторинг сетевой активности способны значительно снизить риски даже от столь целенаправленных и разрушительных атак, исходящих от государственных хакеров.
Индикаторы компрометации
IPv4
- 107.189.19.52
- 146.185.219.235
- 31.57.35.223
- 82.25.35.25
IP range
- 149.88.26.X
- 169.150.227.X
- 188.92.255.X
- 209.198.131.X
MD5
- 3236facc7a30df4ba4e57fddfba41ec5
- 3cb9dea916432ffb8784ac36d1f2d3cd
- 3dfb151d082df7937b01e2bb6030fe4a
- 5986ab04dd6b3d259935249741d3eff2
- e035c858c1969cffc1a4978b86e90a30
