Handala Hackは、従来のRDP多用の侵入と、NetBirdやAI支援型ワイパーなどの新しいツールを組み合わせて、被害ネットワークを迅速に破壊するイラン国家関連の破壊的アクターです。
Handala Hackは、Void Manticore(Red SandstormおよびBanished Kittenとしても追跡)によって運営されるオンラインペルソナであり、イランの情報保安省(MOIS)に関連する脅威アクターです。
このクラスターに関連した追加のペルソナには、KarmaおよびHomeland Justiceが含まれており、これらはイスラエルおよびアルバニアのターゲットに対するキャンペーンで使用されています。
公開されているレポートでは、Void Manticoreをイランの情報保安省の内部セキュリティ副部門とその対テロ部門に関連付けており、その指導部はイスラエルによるイラン情報機関指導者への最近の攻撃の影響を受けたと報告されています。
2023年後半以降、Handalaはほとんどの作戦でKarmaに取って代わる支配的なパブリックペルソナとして浮上し、Homeland Justiceはアルバニア焦点のキャンペーンで引き続き活動しています。
Handala Hack、またCheck Point Researchによって追跡されるVoid Manticoreは、複数の破壊的ワイピング攻撃と「ハック・アンド・リーク」作戦を組み合わせることで知られているイラン脅威アクターです。
3つのペルソナすべてに起因する侵入は、非常に似たTTPと重複するワイパーコードを示しており、密接に調整されたチームまたはHandalaブランドの下での段階的な統合を示唆しています。
初期アクセスと影響前の活動
Void Manticoreは初期アクセスのために侵害されたVPN認証情報を好み続けており、広範な下流の到達範囲を持つアカウントを収集するためにITおよびサービスプロバイダーをターゲットすることによって頻繁に取得されます。
アナリストは、デフォルトのWindowsネーミングパターン(DESKTOP-XXXXXXまたはWIN-XXXXXXXX)を使用する商用VPNノードおよびホストから発信された、組織VPNインフラに対する数百のログオンおよびブルートフォース攻撃を観察しています。
イランでの全国的なインターネット停止後、Handala活動はStarlink IPレンジを経由してルーティングされるのが観察され、作戦セキュリティが低下するにつれてイランIPスペースからの直接接続数が増加しました。
最近の侵入では、グループは破壊段階の前に数ヶ月間の長期アクセスを維持し、その滞在時間を使用してドメイン管理者認証情報を確保しました。
影響の直前に、アクターはWindows Defenderを無効化し、広範な偵察と認証情報の盗難(LSASSダンプとレジストリハイブエクスポート含む)を実行し、ADReconを実行してActive Directoryをマッピングしました。これは、その後のワイパーデプロイメント用の権限昇格パスの最終化の可能性が高いです。
Handalaの作戦は非常に手作業主導であり、横展開は主に侵害されたシステム間のRDPセッションを介して行われます。
直接公開されていない内部ホストに到達するために、オペレーターはRDPを介してログインし、被害者のブラウザーを使用して公式サイトからダウンロードすることにより、正当なゼロトラストメッシュネットワーキングプラットフォームであるNetBirdを手作業でデプロイします。
複数のマシンにNetBirdをインストールすることで、攻撃者はネットワーク内でトラフィックをトンネリングし、複数の足がかりから一度にアクティビティを調整できます。少なくとも1つのケースでは、5つの攻撃者制御システムが単一の環境内で並行して動作し、破壊段階を加速させました。
RDPとアドホックメッシュネットワーキングのこの組み合わせは、グループが運用しやすいストレートフォワードなツールを好む傾向を反映しており、同時に防御側の横展開パスの追跡努力を複雑にしています。
並行ワイパーと破壊
破壊的な作戦中に、Handalaは複数のワイピング方法を同時に採用し、グループポリシー経由で大規模に配布して影響を最大化します。
最初のコンポーネントは、Handala Wiperと呼ばれるカスタム実行可能ファイル(例:handala.exe)であり、バイナリと関連するバッチファイルの両方をトリガーするログオンスクリプトを通じてスケジュール済みタスクとして実行されます。マルウェアはファイルコンテンツを上書きし、MBRレベルのワイピング技術を使用してシステムディスクを破損させ、広範なデータ損失を引き起こします。
並行して、カスタムPowerShellベースのワイパーがユーザーディレクトリ内のファイルを列挙し、大量に削除します。その構造と詳細なコメントはAI支援開発を示唆しており、論理ドライブ全体にプロパガンダイメージ(handala.gif)もドロップして侵入をマークします。
カスタムワイパーを超えて、グループは正当なディスク暗号化ツールであるVeraCryptを悪用し、RDP経由で対話的にダウンロードしてシステムドライブを暗号化し、回復を複雑にする追加の破壊レイヤーとして機能します。
一部のインシデントでは、オペレーターはハイパーバイザーコンソールまたはWindows Explorerから仮想マシンとファイルを直接手動で削除し、彼らのハンズオンアプローチと、時間が許せば低テクだが高い影響力を持つアクションを実行する意思を反映しています。
防御側は、リモートアクセスに対する強力な認証を優先し、VPNと特権アカウントのMFA実行に焦点を当て、新しい国、ホスティングプロバイダー、またはStarlink範囲からのアクセスなどの異常なログインパターンを監視する必要があります。
RDP露出の制限と強化、NetBirdのようなVPNおよびメッシュネットワーキングツールの使用の厳密な制御、および急激なグループポリシー変更またはPowerShellベースの大規模なファイル削除の監視は、ワイピング段階が始まる前にHandalaスタイルの作戦を検出および中断するための鍵です。
IOC
| タイプ | IOC |
| Handala Wiper | 5986ab04dd6b3d259935249741d3eff2 |
| Handala Powershell Wiper | 3cb9dea916432ffb8784ac36d1f2d3cd |
| VeraCrypt Installer | 3236facc7a30df4ba4e57fddfba41ec5 |
| NetBird Installer | 3dfb151d082df7937b01e2bb6030fe4a |
| NetBird | e035c858c1969cffc1a4978b86e90a30 |
| Handala VPS | 82.25.35[.]25 |
| Handala VPS | 31.57.35[.]223 |
| Handala VPS | 107.189.19[.]52 |
| Handala使用のVPN出口ノード | 146.185.219[.]235 |
| Handala使用のStarlink IPレンジ | 188.92.255.X |
| Handala使用のStarlink IPレンジ | 209.198.131.X |
| Handala使用の商用VPN IPレンジ | 149.88.26.X |
| Handala使用の商用VPN IPレンジ | 169.150.227.X |
