A recente onda de ataques cibernéticos direcionados a organizações albanesas envolveu o uso de um exterminador chamado No-Justice.
As descobertas são da empresa de cibersegurança ClearSky, que afirmou que o malware baseado em Windows "crasha o sistema operacional de maneira que ele não pode ser reiniciado".
As invasões foram atribuídas a um grupo iraniano de "operação psicológica" conhecido como Homeland Justice, que está ativo desde julho de 2022, orquestrando especificamente ataques destrutivos contra a Albânia.
Em 24 de dezembro de 2023, o adversário ressurgiu após um hiato, afirmando que está "de volta para destruir apoiadores de terroristas", descrevendo sua última campanha como #DestroyDurresMilitaryCamp.
A cidade albanesa de Durrës atualmente hospeda o grupo dissidente Organização dos Mujahidin do Povo do Irã (MEK).
Os alvos do ataque incluíram a ONE Albânia, a Eagle Mobile Albânia, a Air Albânia e o parlamento albanês.
Duas das ferramentas principais implantadas durante a campanha incluem um exterminador executável e um script do PowerShell projetado para propagar o primeiro a outras máquinas na rede alvo após habilitar o Gerenciamento Remoto do Windows (WinRM).
O exterminador No-Justice (NACL.exe) é um binário de 220,34 KB que requer privilégios de administrador para apagar os dados no computador.
Isso é realizado removendo a assinatura de inicialização do Master Boot Record (MBR), que se refere ao primeiro setor de qualquer disco rígido que identifica onde o sistema operacional está localizado no disco para que possa ser carregado na RAM do computador.
Também são entregues ao longo do ataque ferramentas legítimas como Plink (também conhecido como PuTTY Link), RevSocks e o kit de recursos do Windows 2000 para facilitar o reconhecimento, movimentação lateral e acesso remoto persistente.
O desenvolvimento surge ao mesmo tempo que atores de ameaças pró-iranianos como Cyber Av3ngers, Cyber Toufan, Haghjoyan e YareGomnam Team têm cada vez mais voltado suas atenções para Israel e os EUA em meio às contínuas tensões geopolíticas no Oriente Médio.
"Grupos como Cyber Av3ngers e Cyber Toufan parecem estar adotando uma narrativa de retaliação em seus ataques cibernéticos", revelou a Check Point no mês passado.
"Ao atacar oportunisticamente entidades dos EUA usando tecnologia israelense, esses proxies hacktivistas tentam alcançar uma estratégia dupla de retaliação - afirmando atacar tanto Israel quanto os EUA em um único ataque cibernético orquestrado".
Cyber Toufan, em particular, foi ligado a uma enxurrada de operações de hackers e vazamentos direcionados a mais de 100 organizações, limpando hosts infectados e liberando dados roubados em seu canal Telegram.
"Eles causaram tanto dano que muitas das organizações - quase um terço, na verdade, não conseguiram se recuperar", disse o pesquisador de segurança Kevin Beaumont.
"Algumas delas ainda estão completamente offline mais de um mês depois, e as vítimas limpas são uma mistura de empresas privadas e entidades governamentais israelenses."
No mês passado, a Diretoria Nacional de Cibersegurança de Israel (INCD) disse que atualmente está rastreando cerca de 15 grupos de hackers associados ao Irã, Hamas e Hezbollah que estão operando maliciosamente no ciberespaço israelense desde o início da guerra entre Israel e Hamas em outubro de 2023.
A agência também observou que as técnicas e táticas empregadas compartilham similaridades com as usadas na guerra Ucrânia-Rússia, aproveitando a guerra psicológica e o malware exterminador para destruir informações sensíveis.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...