VOID MANTICORE
#攻撃グループ
活動開始時期
VOID MANTICOREとしては少なくとも2022年中頃から活動が確認されている。
VOID MANTICORE名義の対アルバニア作戦では、破壊的攻撃の約14か月前に初期アクセスを取得していたとされ、MITRE ATT&CKではキャンペーンのFirst Seenを2021年5月としている。
VOID MANTICOREの公開ペルソナは2022年6月にWebサイトと複数のSNSプロファイルを作成し、2022年7月18日にアルバニア政府インフラへのサイバー攻撃を主張した。
所属国・関連地域
イランの情報安全保障省(MOIS)のために活動していると評価されている。
VOID MANTICORE名義の作戦は、イラン政府の利益や反MEKの政治的メッセージと整合する破壊・情報操作活動として報告されている。
別名
VOID MANTICORE
Homeland Justice
利用するマルウェア・攻撃ツール
ROADSWEEP:アルバニア政府を標的にしたランサムウェア型ファイル暗号化マルウェア。
CHIMNEYSWEEP:Telegramまたは攻撃者管理インフラをC2に使うバックドア。スクリーンショット取得、ファイル列挙・収集、リバースシェル、キーロギング機能が報告されている。
ZeroCleare:破壊的なディスクワイパー。アルバニアへの攻撃で派生版の使用が報告されている。
RawDisk:ディスク破壊に用いられた正規ドライバ。
Impacket、Mimikatz、FTPなどの公開ツールも関連キャンペーンで使用が報告されている。
ターゲット
アルバニア、イスラエル、米国の政府機関、重要インフラ、民間組織を標的にした活動が報告されている。
VOID MANTICORE名義では、2022年7月と9月にアルバニア政府を標的とした破壊的攻撃、情報窃取、リーク、反MEKメッセージの拡散が確認されている。
作戦の対象には、アルバニアの電子政府サービス、政府Webサイト、メール環境、政府文書が含まれる。