СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 марта
#ИБ

Handala Hack: MOIS‑связанные wiper‑атаки и операция Epic Fury

Handala Hack — преступная хакерская группировка, действующая под видом пропалестинского хактивистского сообщества, но широко известная как киберперсона, связанная с Министерством разведки и безопасности Ирана (MOIS). Появившись в декабре 2023 года, группа быстро перешла к агрессивным кибероперациям, нацеленным на израильские и западные организации, с очевидным особым вниманием к американским корпорациям.

Краткое содержание расследования

Анализ, проведённый на основе множества независимых источников информации об угрозах, подтверждает деструктивный характер Handala Hack и опровергает её самопрезентацию как массового движения. Группа возникла после нападения ХАМАСА 7 октября 2023 года и использовала название Handala как символическое обозначение сопротивления. При этом оперативная модель организации указывает на координацию с иранскими кибер-подразделениями и возможное взаимодействие с актёрами типа Scarred Manticore и Void Manticore.

Тактика, техники и инструменты

В операциях Handala Hack используется широкий набор методов атаки — от целевого фишинга до развёртывания кастомного деструктивного ПО. Группа демонстрирует умение комбинировать социальную инженерию с эксплуатацией известных уязвимостей для получения первоначального доступа.

  • Эксплуатация уязвимостей: в ряде случаев использовалась уязвимость CVE-2019-0604 для начального проникновения.
  • Целевой фишинг: многоэтапные кампании, направленные на завоевание доверия жертв, включая подмену сообщений, основанных на реальных инцидентах.
  • Деструктивное ПО (wiper): задокументированы несколько пользовательских классов wiper, в том числе BiBi Wiper и Hamsa, предназначенных для вывода систем из строя.
  • Уклонение от обнаружения: использование легитимных инструментов Windows, запутанных скриптов и многоступенчатых цепочек выполнения.
  • Коммуникация и пропаганда: активность как в clear Web, так и в Tor для усиления идеологических посланий.

Крупнейшие операции: Epic Fury

Особо примечательной стала операция Epic Fury, проведённая в марте 2026 года. Как сообщается, в ходе этой акции было уничтожено более 200 000 устройств в Stryker Corporation — компании, имеющей значительные контракты с Министерством обороны США. Этот инцидент демонстрирует способность группы наносить значительный ущерб гражданской и корпоративной инфраструктуре.

Цели и масштабы активности

Группа всегда фокусировалась в первую очередь на израильских организациях, однако её операционная сфера расширилась и включает американские корпорации и иные западные институты. Исследования фиксируют по меньшей мере 85 заявленных атак в период с начала 2024 по начало 2025 года; основными целями были сектора технологий, обороны и критически важной инфраструктуры.

«Анализ множества независимых источников подтверждает деструктивный характер Handala Hack и указывает на структурированную операционную модель, а не на массовое хактивистское движение», — отмечают исследователи.

Рекомендации по защите

Для уменьшения риска воздействия тактик Handala Hack организациям рекомендуется внедрять следующие меры:

  • Многофакторная аутентификация, устойчивая к фишингу (например, с аппаратными токенами или FIDO2).
  • Обучение персонала распознаванию фишинговых и социальных инженерных приёмов.
  • Мониторинг аномалий в сетевом трафике и выполнении скриптов, отслеживание необычных сценариев выполнения.
  • Расширенная защита конечных точек (EDR/XDR), способная выявлять и нейтрализовать деструктивную активность wiperов.
  • Резервное копирование и планы восстановления, обеспечивающие устойчивое восстановление после успешных атак (offline/immutable backups).
  • Минимизация прав доступа и сегментация сети для ограничения распространения инфекции.

Последствия и выводы

Handala Hack представляет собой не идеологическое хактивистское сообщество в популярном смысле, а хорошо организованный, деструктивный актор с признаками связи с MOIS и скоординированной операционной моделью. Комбинация целевого фишинга, эксплуатации известных уязвимостей и пользовательских wiperов делает её особенно опасной для критических секторов. Для организаций это означает необходимость системного подхода к киберзащите — от технических мер до подготовки персонала и резервирования данных.

Следует внимательно отслеживать публикации по инцидентам, обновлять политики защиты и оперативно реагировать на индикаторы компрометации, сопоставимые с тактиками и инструментами, описанными выше.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: