Исследователи Check Point Research (CPR) начали активный мониторинг и преследование спонсируемых государством угроз, направленных на организации в Израиле. Одна из главных угроз - группа Void Manticore, известная также как Storm-842, которая осуществляет разрушительные атаки и утечку информации через персону под ником "Karma".
Группа также была замечена за атаками в Албании с использованием личности "Homeland Justice". Анализ операций и утечек информации группы показал значительное совпадение с Scarred Manticore (Storm-861), что указывает на вероятное сотрудничество между этими двуми группами.
Методы, тактики и процедуры (TTP), используемые Void Manticore, относительно просты и понятны. Группа часто использует протокол удаленных рабочих столов (RDP) для боковых перемещений и вручную устанавливает Wiper-ы. Сотрудничество с более сложным Scarred Manticore позволило Void Manticore получить доступ к ценным целям. Также выявлены связи между Karma и Scarred Manticore, где Karma использовала личность Scarred Manticore и получила доступ к информации.
В ходе расследования обнаружена процедура передачи данных между злоумышленниками. Например, Scarred Manticore начал взаимодействовать с зараженной машиной в момент, когда была сброшена новая веб-оболочка. Затем другой агент, Void Manticore, начал использовать эту веб-оболочку, установленную Scarred Manticore. Void Manticore также использовал учетную запись администратора домена для доступа к дополнительной информации о сети.
Indicators of Compromise
IPv4
- 64.176.169.22
- 64.176.172.101
- 64.176.172.165
- 64.176.172.235
- 64.176.173.77
SHA256
- 74d8d60e900f931526a911b7157511377c0a298af986d42d373f51aac4f362f6
- 85fa58cc8c4560adb955ba0ae9b9d6cab2c381d10dbd42a0bceb8b62a92b7636
- 87f0a902d6b2e2ae3647f10ea214d19db9bd117837264ae15d622b5314ff03a5
- cc77e8ab73b577de1924e2f7a93bcfd852b3c96c6546229bc8b80bf3fd7bf24e
- d0c03d40772cd468325bbc522402f7b737f18b8f37a89bacc5c8a00c2b87bfc6
- deeaf85b2725289d5fc262b4f60dda0c68ae42d8d46d0dc19b9253b451aea25a