СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 марта
#ИБ

Handala Hack: MOIS‑связанные wiper‑атаки, NetBird и PowerShell с ИИ

Онлайн‑персона Handala Hack, связанная с Министерством разведки и безопасности Ирана (MOIS) через злоумышленника Void Manticore, использует сочетание деструктивных атак и последовательных процедур по взлому и утечке данных. За последние месяцы активность группы заметно возросла: помимо традиционных целей в Израиле и Албании злоумышленники стали нацеливаться и на организации в США, включая медицинскую технологическую фирму Stryker.

Кто и как действует

У группы есть несколько оперативных направлений, таких как Karma и Homeland Justice. Ее тактика и процедуры (TTPs) остаются по большей части последовательными и ориентированы на быстрое практическое взаимодействие в сетях жертв. Для первоначального доступа злоумышленники преимущественно используют компрометацию учетных данных VPN, а дальнейшее перемещение по сети осуществляется вручную, часто с применением протокола RDP.

TTPs: ключевые особенности и развитие

  • Первичный доступ: компрометация учетных данных для доступа к VPN.
  • Вертикальное и горизонтальное перемещение: ручные операции внутри сети, широкое использование RDP.
  • Инструменты туннелирования: внедрение NetBird для оптимизации трафика между сетями и упрощения перемещений внутри компании.
  • Деструктивность: одновременное использование нескольких методов очистки для максимального уничтожения данных.
  • Долгосрочный доступ: получение постоянного доступа и разведка месяцы до запуска деструктивной акции.
  • Нарушения OPSEC: иногда злоумышленники подключаются напрямую с иранских IP, а не через прокси/VPN‑узлы, что свидетельствует о снижении уровня осторожности.

«Handala Wiper работает с использованием двухкомпонентного подхода: пользовательского исполняемого файла и сценария PowerShell, оба разворачиваются через GPO logon scripts.»

Главный инструмент разрушения — Handala Wiper

Основной инструмент уничтожения данных, известный как Handala Wiper, реализован по двухкомпонентной схеме: собственный исполняемый файл + PowerShell‑скрипт. Оба компонента обычно разворачиваются с помощью сценариев входа в групповую политику (GPO logon scripts) в скомпрометированной сети. Они активно перезаписывают и повреждают данные, включая атаки на главную загрузочную запись (MBR), что значительно усложняет восстановление систем.

Кроме автоматизированных процедур очистки операторы нередко проводят ручное удаление виртуальных машин и выборочных файлов — комбинация автоматических и ручных действий повышает вероятность успешного уничтожения критичных данных.

Новые элементы в арсенале

  • NetBird — легитимный инструмент туннелирования, применяемый для создания стабильных и незаметных каналов между сетями жертв.
  • PowerShell‑скрипт с поддержкой AI — используется для повышения эффективности операций по удалению и автоматизации процессов уничтожения.
  • Использование легального ПО, в том числе VeraCrypt, для шифрования дисков, что делает процесс восстановления еще более сложным при одновременном применении методов уничтожения.

Кража учетных данных и защита привилегий

Для кражи учетных данных группа использует несколько проверенных методов:

  • дампирование памяти службы подсистемы управления локальной безопасностью (LSASS);
  • экспорт конфиденциальных данных реестра, содержащих учетные данные, в частности учетные записи с правами администратора домена;
  • длительное разведывательное наблюдение и сбор учетных записей перед исполнением деструктивных действий.

Операционная безопасность и признаки атрибуции

Связь с MOIS через Void Manticore отражает характерную для ряда иранских операций комбинацию политически мотивированных целей и разрушительных техник. При этом наблюдаются и откаты в OPSEC: иногда операторы подключаются напрямую с иранских IP‑адресов вместо использования установленных узлов VPN, что может облегчить трассировку и корреляцию инцидентов.

Последствия атак и примеры пострадавших

Последние кампании показали возрастание масштабов ударов и географии целей: кроме традиционных региональных целей злоумышленники атаковали организации в США, включая Stryker. В результате применяемых методов возможны:

  • полная потеря данных вследствие перезаписи и повреждения файлов и MBR;
  • выведение из строя виртуальных машин и критичных сервисов вследствие ручного удаления;
  • затруднения восстановления даже при наличии резервных копий из‑за комбинированных векторов уничтожения и шифрования.

Рекомендации для защиты и реагирования

  • внедрить многофакторную аутентификацию (MFA) для VPN и привилегированных аккаунтов;
  • ограничить и зафиксировать доступ по RDP, использовать защищенные прокси и jump‑hosts, контролировать активные сессии;
  • обнаруживать и блокировать небезопасные туннели и несанкционированные сервисы (включая NetBird), мониторить установку и запуск нестандартного ПО;
  • защитить процесс LSASS: включить защитные механизмы Windows (Credential Guard, LSA protection), ограничить возможность дампинга памяти;
  • контролировать и защищать GPO: регистрировать изменения, ограничивать использование logon scripts и следить за подписанием и целостностью скриптов;
  • планировать стратегии резервного копирования с оффлайн/immutable копиями и проверять восстановление с учетом повреждения MBR и загрузочных секторов;
  • ограничивать возможность запуска PowerShell скриптов (Constrained Language Mode, Application Control), активно логировать и анализировать аномальную PowerShell‑активность;
  • включить проактивный threat hunting на предмет долговременной персистенции и разведывательных операций месячной и более давности;
  • при инциденте — изолировать пораженные сети, сохранить артефакты (GPO скрипты, дампы памяти, логи), уведомить компетентные органы и провести форензик‑расследование.

Вывод

Handala Hack демонстрирует сочетание проверенных методов получения доступа и новых приёмов для обеспечения скрытного перемещения и масштабного уничтожения данных. Использование легитимных инструментов вроде NetBird и VeraCrypt, а также внедрение PowerShell‑скрипта с поддержкой AI, показывают эволюцию подхода: от простого взлома к более сложным, гибридным операциям. Организациям следует считать такие кампании высоко сложными и готовиться к не только к предотвращению вторжений, но и к быстрому восстановлению после целенаправленных деструктивных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: