Void Manticore crea malware Bibi per colpire Israele

Void Manticore, un attore di minacce iraniano affiliato al Ministero dell’Intelligence e della Sicurezza (MOIS), è noto per eseguire attacchi di wiping distruttivi combinati con operazioni di influenza. Operando attraverso vari personaggi online, Void Manticore ha condotto attacchi significativi in Israele sotto l’alias “Karma”. Questa analisi esplora le tattiche, le tecniche e le procedure (TTP) utilizzate da Void Manticore e il loro impatto sulle organizzazioni israeliane.

Attività di Void Manticore

Dal novembre 2023, Void Manticore ha intensificato le sue operazioni in Israele, sfruttando un wiping personalizzato chiamato BiBi wiper, nome ispirato al primo ministro israeliano Benjamin Netanyahu. Il gruppo ha mirato a oltre 40 organizzazioni israeliane, utilizzando attacchi di wiping, furto e pubblicazione di dati.

Collaborazione con Scarred Manticore

Le attività di Void Manticore sono strettamente legate a quelle di Scarred Manticore, un altro gruppo iraniano. L’indagine ha rivelato una procedura di passaggio dei bersagli tra i due gruppi, evidenziando una cooperazione coordinata. Scarred Manticore, noto anche come Storm-861, esegue l’accesso iniziale e l’esfiltrazione dei dati, mentre Void Manticore (Storm-842) conduce attacchi distruttivi successivi.

Tecniche e strumenti utilizzati

Void Manticore utilizza metodi relativamente semplici ma efficaci:

1. Movimenti Laterali: Utilizzano Remote Desktop Protocol (RDP) e altri strumenti pubblicamente disponibili.
2. Web Shells: Impiegano strumenti come “Karma Shell” per eseguire varie funzioni, tra cui l’elenco delle directory, la creazione di processi, il caricamento di file e l’avvio/arresto dei servizi.
3. Wipers Personalizzati: Implementano wipers che eliminano file specifici o distruggono le tabelle delle partizioni, causando danni significativi ai sistemi colpiti.

Esempi di Wipers

• Cl Wiper: Utilizzato in Albania nel 2022, sfrutta un driver legittimo chiamato ElRawDisk per interagire con dischi e partizioni.
• Partition Wipers: Rimuovono informazioni sulle partizioni, causando crash dei sistemi e inaccessibilità dei dati.
• BiBi Wiper: Varianti per Linux e Windows, corrompono file con dati casuali e rinominano i file infetti.

Attacchi in Israele

Durante il conflitto Israele-Hamas, Void Manticore ha lanciato vari attacchi contro entità israeliane, utilizzando il BiBi wiper per cancellare dati e causare danni significativi. Le varianti del wiper includono funzioni per cancellare copie shadow, disabilitare il recupero degli errori e corrompere le partizioni del disco.

Implicazioni

Le attività di Void Manticore rappresentano una minaccia significativa per le organizzazioni israeliane, combinando distruzione di dati e guerra psicologica. La collaborazione con Scarred Manticore amplifica l’efficacia degli attacchi, consentendo l’accesso a bersagli di alto valore. La risposta delle organizzazioni di sicurezza deve essere coordinata e proattiva per mitigare tali minacce.