Ator iraniano usa personas públicas, web shells, movimentação por RDP e wipers como BiBi para transformar acessos previamente obtidos em sabotagem de dados e indisponibilidade operacional.
| Componente | Ambientes corporativos comprometidos por Void Manticore, incluindo servidores web expostos, contas de domínio, hosts Windows e Linux e wipers como BiBi, LowEraser, Pinky e JustMBR. |
| Vetor | Acesso por web shells em servidores expostos, uso de credenciais de Domain Admin, tunelamento com reGeorge, movimentação lateral por RDP e implantação manual de ferramentas destrutivas. |
| Impacto | Destruição de arquivos, corrupção de tabelas de partição, falha de inicialização, indisponibilidade de sistemas e publicação seletiva de dados associados a operações de influência. |
| Prioridade | Investigar servidores web com shells suspeitos, validar uso de contas administrativas, procurar execução de wipers, isolar hosts afetados e restaurar a partir de backups íntegros. |
| Artefatos | Karma Shell, do.exe, reGeorge, AD Explorer, cliente OpenSSH, cl.exe, rwdsk.sys, bibi-linux.out e bibi.exe aparecem no fluxo técnico descrito. |
| IoCs | Exemplos defangados incluem endereços na faixa 64[.]176[.]169[.]22 e 64[.]176[.]172[.]235; a defesa deve tratar listas completas de indicadores em repositórios internos controlados. |
Void Manticore é descrito como um ator iraniano ligado ao Ministério de Inteligência e Segurança do Irã, com foco em operações destrutivas e influência pública. A atividade observada contra organizações em Israel combina comprometimento técnico, apagamento de dados e uso de personas on-line para amplificar o impacto psicológico dos incidentes. A persona Karma surgiu após o início da guerra entre Israel e Hamas, manteve canal no Telegram e lançou um site em novembro de 2023 com narrativa política contra o governo israelense e contra Benjamin Netanyahu. O nome BiBi, usado em uma das famílias de wiper, reforça esse componente simbólico dentro da operação.
A característica mais importante da campanha não é apenas a existência de malware destrutivo, mas o encadeamento entre atores. Há sobreposição de vítimas e sinais de transferência operacional entre Scarred Manticore, também identificado como Storm-861, e Void Manticore. Em alguns casos, Scarred Manticore teria permanecido em redes por longo período e, no momento em que um novo web shell foi gravado no disco, outro conjunto de endereços passou a acessar o ambiente. A partir desse ponto, as ferramentas observadas eram menos sofisticadas, mas conduziam à etapa destrutiva, incluindo a implantação do wiper BiBi.
O padrão descrito indica uma divisão de função: um ator com capacidade maior de intrusão e permanência obtém ou mantém o acesso, enquanto Void Manticore transforma esse acesso em sabotagem, apagamento e exposição pública. Essa lógica também aparece em operações contra a Albânia, onde a persona Homeland Justice foi associada à divulgação de dados coletados e a ataques destrutivos. A repetição do modelo em Israel e Albânia sugere que o procedimento de transferência de vítimas não foi um evento isolado, mas um processo operacional reutilizado.
O acesso inicial atribuído a Void Manticore, em parte dos casos, passa por servidores web expostos à internet. Nesses sistemas, o grupo utilizou diferentes web shells, incluindo uma ferramenta própria chamada Karma Shell. O shell se disfarça como página de erro, mas oferece funções úteis para controle remoto: enumeração de diretórios, criação de processos, envio de arquivos e manipulação de serviços. Os parâmetros são protegidos por codificação base64 e uma operação simples de XOR de um byte, mecanismo que não representa sofisticação criptográfica, mas reduz a exposição direta dos argumentos em inspeções superficiais.
Após o posicionamento do shell, foi observado o envio de um executável sob o nome do.exe. A função descrita para esse binário é validar autenticação com credenciais de Domain Admin. Quando a validação tem sucesso, o executável copia outro web shell, o reGeorge, para um diretório web, sinalizando que as credenciais funcionam e abrindo caminho para tunelamento. A presença de credenciais administrativas embutidas reforça a hipótese de que Void Manticore recebeu informações internas ou acesso já qualificado de outra entidade, em vez de depender apenas de descoberta local após o shell inicial.
Com o reGeorge implantado, o operador prossegue para movimentação lateral por RDP e reconhecimento do domínio com AD Explorer, ferramenta legítima da suíte Sysinternals usada para inspecionar objetos de Active Directory. Em alguns hosts, a cadeia estabelece canal de comando e controle por meio de cliente OpenSSH, usado para formar um proxy SOCKS a partir de máquinas comprometidas. Essa combinação cria um ambiente prático para navegação lateral, acesso a segmentos internos e preparação manual de destruição, sem exigir uma estrutura de malware complexa em todas as etapas.
A fase final varia entre wipers automatizados e apagamento manual. Alguns wipers corrompem arquivos específicos ou grupos de arquivos, afetando dados de usuários, aplicações e componentes necessários à continuidade operacional. Outros atacam diretamente a tabela de partição do disco, removendo o mapa usado pelo sistema operacional para localizar partições. Em discos com MBR, a ação remove assinaturas relevantes da tabela; em discos com GPT, a corrupção atinge o cabeçalho primário e a cópia de reserva no último setor. O resultado técnico é perda de acessibilidade aos dados e, em certos cenários, tela azul e falha de inicialização após reinicialização.
A superfície de risco inclui organizações em Israel e Albânia que foram alvo de acesso, vazamento e destruição. No caso israelense, a persona Karma afirmou ter atingido mais de 40 organizações, incluindo alvos de alto valor. A informação operacional disponível aponta para uso de servidores web expostos, contas administrativas de domínio, estáções e servidores acessíveis por RDP, hosts Windows e Linux e ambientes em que ferramentas administrativas legítimas puderam ser usadas sem bloqueio preventivo. O risco aumenta quando uma intrusão anterior já forneceu credenciais, mapeamento de rede e persistência.
Os wipers citados abrangem variantes com objetivos distintos. CI Wiper, usado em ataque contra a Albânia em julho de 2022, opera com cl.exe e o driver legítimo rwdsk.sys, associado ao ElRawDisk, para obter acesso bruto a discos e partições. Variantes posteriores como LowEraser, também chamada de No-Justice Wiper, Pinky e JustMBR mantêm a lógica de destruição da estrutura de partição. Já o BiBi Wiper, observado em campanhas contra entidades em Israel, possui versões para Linux e Windows e atua sobre arquivos, corrompendo conteúdo com dados aleatórios e renomeando arquivos afetados com extensão .BiBi.
A versão Linux do BiBi pode receber parâmetro de caminho de destino, com / como padrão, usa múltiplas threads de acordo com a quantidade de núcleos de CPU e organiza o processo por fila. Ela evita extensões como .out e .so, provavelmente para não interferir em componentes necessários ao próprio processo e a bibliotecas do sistema. A variante Windows, nomeada bibi.exe, segue lógica semelhante, mas usa C:\Users como caminho padrão e evita destruir arquivos com extensões .exe, .dll e .sys. Em fevereiro de 2024, foram observadas variantes mais direcionadas, indicando ajuste do wiper para contextos específicos.
- Servidores web expostos com possibilidade de gravação de web shells e execução de processos.
- Ambientes Active Directory nos quais credenciais de
Domain Adminpossam ter sido reutilizadas, transferidas ou armazenadas de forma insegura. - Hosts Windows e Linux com acesso por
RDP, ferramentas administrativas legítimas e permissões suficientes para gravação destrutiva. - Discos com estruturas
MBRouGPTsujeitos à corrupção de tabela de partição por ferramentas com acesso bruto ao dispositivo.
A investigação defensiva deve começar pela linha do tempo entre presença anterior, criação de web shells e mudança de origem dos acessos. Um sinal relevante é a gravação de novo arquivo em diretório web seguida por acessos de endereços diferentes dos previamente associados ao ambiente comprometido. Também é importante revisar logs de servidor web em busca de páginas que aparentem ser erros comuns, mas recebam parâmetros codificados, executem processos, manipulem serviços ou aceitem envio de arquivos. A detecção não deve depender do nome Karma Shell, pois a função do shell é mais importante que o rótulo.
Em identidade, o foco é o uso anômalo de contas com privilégio de domínio. Eventos de autenticação bem-sucedida para Domain Admin fora de estáções administrativas, logons por RDP em servidores incomuns, mudanças bruscas de origem e uso de credenciais administrativas logo após atividade em servidor web são sinais que merecem correlação. O executável do.exe, quando presente, deve ser tratado como artefato crítico, porque sua finalidade descrita é validar credenciais de alto privilégio e acionar a implantação de outro shell quando a autenticação funciona.
No endpoint, a telemetria deve priorizar execução de reGeorge, AD Explorer, clientes OpenSSH em servidores que normalmente não operam túneis, criação de proxies SOCKS, acesso bruto a disco, chamadas relacionadas a exclusão de layout de unidade e execução de binários com nomes como bibi-linux.out, bibi.exe, cl.exe, LowEraser, Pinky ou JustMBR. Em Linux, renomeações em massa para o padrão .BiBi e escrita de dados aleatórios em grande volume são fortes sinais de wiper de arquivos. Em Windows, atividade intensa em C:\Users combinada com preservação de .exe, .dll e .sys pode indicar variante compatível com o fluxo observado.
Em rede, os indicadores devem ser usados com cuidado, porque infraestrutura pode mudar. Exemplos defangados observados incluem 64[.]176[.]169[.]22 e 64[.]176[.]172[.]235, além de outros endereços próximos na mesma faixa. Em vez de depender apenas desses valores, a defesa deve procurar padrões: conexões incomuns originadas de servidores web para endereços externos, sessões persistentes compatíveis com tunelamento, tráfego associado a RDP entre segmentos que não costumam se comunicar e conexões SSH iniciadas por hosts sem função administrativa.
- Criação de web shell em diretório público seguida por execução de processos, upload de arquivos ou manipulação de serviços.
- Uso de
Domain Adminfora de caminhos administrativos conhecidos, principalmente após atividade suspeita em servidor web. - Execução de
AD Explorer,OpenSSHoureGeorgeem servidores que não deveriam hospedar reconhecimento de domínio ou túneis. - Renomeação em massa para extensão
.BiBi, corrupção de arquivos e acesso bruto a disco com impacto emMBRouGPT. - Eventos de falha de inicialização, tela azul e perda súbita de visibilidade de partições após execução de binários recentes.
A resposta deve tratar a campanha como intrusão com possível transferência de acesso, não apenas como execução isolada de wiper. Se um host apresenta web shell, credencial administrativa validada ou tunelamento, a contenção precisa abranger contas, sessões, servidores intermediários e máquinas acessadas lateralmente. Isolar somente o sistema que sofreu destruição pode deixar o operador com acesso por outro ponto da rede. A primeira medida prática é preservar evidências voláteis quando possível, segmentar hosts suspeitos, bloquear canais externos anômalos e suspender credenciais administrativas usadas fora do padrão.
A recuperação depende da integridade dos backups e da capacidade de restaurar sistemas sem reintroduzir o acesso do invasor. Para wipers de arquivos, restauração seletiva pode ser viável quando há cópias limpas e quando a linha do tempo identifica o início da corrupção. Para wipers de partição, a prioridade é não reinicializar sistemas desnecessariamente, coletar imagem forense quando aplicável e avaliar recuperação de tabela apenas em ambiente controlado. Backups conectados permanentemente ao domínio ou acessíveis com a mesma credencial administrativa devem ser considerados em risco até validação independente.
A mitigação estrutural passa por reduzir os caminhos usados no fluxo observado. Servidores web expostos precisam de revisão de permissões de escrita, inventário de arquivos recentes, validação de integridade e monitoramento de execução de processos filhos. Contas de Domain Admin devem ser limitadas a estáções administrativas dedicadas, com autenticação forte, bloqueio de uso interativo indevido e rotação após qualquer suspeita de exposição. O uso de RDP entre servidores deve ser restrito por necessidade real, com registro centralizado e alertas para conexões laterais incomuns. Ferramentas legítimas como AD Explorer e OpenSSH não devem ser proibidas cegamente, mas sua execução em servidores sensíveis precisa gerar investigação.
A validação pós-incidente deve procurar sinais de Scarred Manticore e Void Manticore no mesmo ambiente, porque a presença de um ator destrutivo pode ser consequência de acesso obtido anteriormente. Isso exige revisar meses de logs quando disponíveis, especialmente em servidores expostos, controladores de domínio, VPNs, proxies e EDR. O objetivo defensivo é reconstruir a sequência de acesso, identificar se houve coleta ou publicação de dados, remover web shells, eliminar túneis, invalidar credenciais transferidas e confirmar que nenhum mecanismo de acesso secundário permaneceu ativo antes da volta plena à operação.
- Isolar servidores com web shell, tunelamento ou execução de wiper, preservando evidências antes de reconstruções quando a operação permitir.
- Rotacionar credenciais administrativas e revisar todos os logons de
Domain Adminassociados aos hosts afetados. - Remover web shells, validar integridade de diretórios web e revisar permissões de escrita em aplicações expostas.
- Bloquear ou restringir
RDPlateral e conexões SSH inesperadas a partir de servidores internos. - Restaurar sistemas a partir de backups verificados e testar se o acesso inicial foi eliminado antes de reconectar ativos críticos.
0 Comentários