Всё о простой, но жестокой схеме группировки Handala.
Иранская группа Handala Hack , которую связывают с кластером Void Manticore и Министерством разведки и безопасности Ирана, продолжает действовать по довольно жесткой, но не слишком сложной схеме: получить доступ, быстро закрепиться внутри сети, пройтись по инфраструктуре вручную и запустить сразу несколько способов уничтожения данных. В новом разборе исследователи описали не только привычный набор приемов группы, но и несколько свежих деталей. Среди них - использование NetBird для прокладки приватных туннелей внутри скомпрометированной среды и PowerShell-вайпер с признаками ИИ-помощи при написании кода.
Под именем Handala Hack скрывается не отдельная разовая кампания, а 1 из публичных масок Void Manticore. У этой структуры есть и другие известные образы - Karma и Homeland Justice. Именно Homeland Justice долгое время использовалась в операциях против Албании, в том числе против госструктур и телеком-сектора. Handala, напротив, прежде всего ассоциировалась с атаками на израильские организации, но теперь география уже не ограничивается Израилем. Исследователи отдельно упоминают и атаки на американские компании, включая производителя медицинских технологий Stryker.
По данным отчета, техники, тактики и процедуры группы, то есть TTPs, с 2024 по 2026 год почти не изменились. Void Manticore по-прежнему делает ставку на ручную работу внутри сети, коммерческие и общедоступные инструменты, готовые вайперы, публичные утилиты для удаления файлов и шифрования, а также криминальные сервисы для начального доступа и получения вредоносного инструментария. Важный нюанс здесь в другом: даже без особенно экзотических приемов группа добивается серьезного разрушительного эффекта, потому что действует быстро, использует привилегированные учетные записи и бьет по нескольким направлениям сразу.
Исследователи считают, что персонажи Handala, Karma и Homeland Justice тесно связаны между собой. В инцидентах, которые относили к этим фронтам, совпадали не только общие приемы, но и участки кода в используемых вайперах. У Karma и Homeland Justice вдобавок прослеживалось сотрудничество с другим иранским кластером, Scarred Manticore. В некоторых случаях картина выглядела особенно показательно: сообщения внутри зараженной среды и надписи, которые оставляли злоумышленники, указывали на Karma, а украденные данные в итоге сливали уже через Handala. Авторы допускают, что изначально Karma и Handala могли быть 2 отдельными командами или 2 ветками внутри 1 структуры, а потом фактически слились под более заметным брендом Handala. Косвенно на это указывает исчезновение Karma из публичного поля и доминирование Handala в более новых операциях.
От джуна до CISO: все нужные ивенты в одном месте Начать расти
Ниже приведен полный фрагмент PowerShell-кода, который исследователи включили в отчет:
$usersFolder = C:\Users # Ensure the folder exists if (Test-Path $usersFolder) {# Get all items in C:\Users, but not the Users folder itself$items = Get-ChildItem -Path $usersFolder -Recurse# Remove each item (files and subfolders) inside C:\Usersforeach ($item in $items) { try { Remove-Item -Path $item.FullName -Recurse -Force -ErrorAction Stop } catch { Write-Host Could not delete: $($item.FullName) }} } $sourceFile = \\[REDACTED]\SYSVOL\[REDACTED]\scripts\Administtration\install\handala.rar $destinationFolder = C:\users if (!(Test-Path $destinationFolder)) {New-Item -ItemType Directory -Path $destinationFolder | Out-Null } $driveLetter = (Split-Path $destinationFolder -Qualifier).TrimEnd(':','\') $i = 0 while ((Get-PSDrive $driveLetter).Free -gt (Get-Item $sourceFile).Length) {Copy-Item $sourceFile $destinationFolder\Handala_$i.gif$i++ }
Помимо самописных вайперов группа использовала и вполне легальный софт - VeraCrypt. Обычно VeraCrypt известен как инструмент для шифрования дисков и контейнеров, который применяют для защиты данных. В атаке Handala его превратили в еще 1 слой разрушения. Оператор подключался к хосту по RDP, через штатный браузер скачивал VeraCrypt с официального сайта и затем применял шифрование системных дисков. Для жертвы это особенно неприятно: даже если часть вайперов сработала не полностью или где-то была остановлена, зашифрованные диски все равно могут остаться недоступными и сильно усложнить восстановление.
В некоторых случаях группа вообще не усложняла себе жизнь и удаляла данные вручную. Исследователи наблюдали эпизоды, когда операторы через RDP заходили на машины, выделяли файлы и просто удаляли их. Аналогично они удаляли виртуальные машины прямо из платформы виртуализации. Такой прием выглядит примитивно, но в условиях уже полученных привилегий и хорошего контроля над средой работает вполне эффективно. Более того, подобное поведение исследователи видели не только в самих инцидентах, но и в видеороликах и слитых материалах, которые публиковала сама Handala.
Общий вывод отчета довольно прямой. Handala и связанный с ней кластер Void Manticore не делают ставку на редкие высокотехнологичные трюки. Их модель держится на довольно простых, но действенных шагах: украденные учетные данные, быстрый вход в сеть, ручное перемещение по инфраструктуре, туннелирование через легитимные инструменты, групповые политики для массового распространения и несколько параллельных способов уничтожения данных. Именно поэтому оборона от таких операций остается в значительной степени классической: чем надежнее закрыты базовые пути доступа и чем быстрее замечена ручная активность внутри сети, тем меньше шансов у атакующих дойти до разрушительной фазы.
В рекомендациях защитникам исследователи советуют прежде всего жестко включать многофакторную аутентификацию , особенно для удаленного доступа и привилегированных учетных записей. Отдельное внимание стоит уделять аномальной аутентификации: входам из стран, где организация раньше не работала, первым входам в необычное время, цепочкам из множества неудачных попыток с последующим успешным логином, регистрации новых устройств, необычным объемам передачи данных во время VPN-сеанса и аутентификации через новые ASN или хостинг-провайдеров.
Также авторы рекомендуют ограничивать доступ из географий и инфраструктур повышенного риска. В отчете отдельно говорится о блокировке входящих подключений из Ирана на периметре и на сервисах удаленного доступа, если только для этого нет подтвержденной бизнес-необходимости. Аналогичный совет касается диапазонов Starlink, которые, по наблюдениям исследователей, уже использовались иранскими операторами. Если полная блокировка невозможна, предлагается хотя бы включать условный доступ, усиливать требования к аутентификации и отдельно мониторить такие диапазоны.
Еще 1 важный блок рекомендаций касается RDP. Его предлагают максимально ограничивать, усиливать защиту и отключать там, где он реально не нужен. Отдельно полезно искать RDP-подключения с машин, у которых остались стандартные имена Windows вроде DESKTOP-XXXXXX или WIN-XXXXXXXX, особенно если такие сеансы начинаются вне рабочего времени. Наконец, стоит отслеживать использование потенциально нежелательного ПО: систем удаленного администрирования и мониторинга, VPN-клиентов вроде NetBird, а также туннельных утилит, включая SSH для Windows.
История Handala хорошо показывает неприятную, но важную вещь: для крупного разрушительного инцидента не всегда нужен сложный имплант нового поколения. Иногда хватает украденного VPN-доступа, прав администратора домена, удаленного рабочего стола, пары легитимных утилит и группы операторов, которые готовы быстро пройтись по сети руками. Именно поэтому такие кампании опасны не только для громких политических целей, но и для обычных компаний, у которых базовая гигиена удаленного доступа и внутреннего администрирования все еще держится на старых допущениях.
