scarred-manticore - RunkIntel

# Scarred Manticore > [!danger] MOIS - Acesso Inicial Broker para Operações Destrutivas > Scarred Manticore e o especialista em acesso inicial do ecossistema MOIS: penetra redes de alto valor silenciosamente, mantendo acesso por meses ou anos, e então "passa a bola" para Void Manticore executar ataques destrutivos. A combinacao das duas entidades fez os ataques mais devastadores do Ira contra Albania e Israel. ## Visão Geral Scarred Manticore e um grupo de ameaça iraniano afiliado ao MOIS (Ministerio de Inteligência e Segurança) - distinto do IRGC que opera grupos como [[g0064-apt33|APT33]] e [[g0117-fox-kitten|Fox Kitten]]. Ativo desde pelo menos 2019, o grupo especializa-se em **implantação de backdoors passivos de alta durabilidade** em servidores Windows voltados para a internet, especialmente servidores IIS e Exchange. O elemento mais sofisticado do arsenal e o **framework LIONTAIL** - uma coleção de loaders customizados e payloads shellcode resident em memoria que utilizam funcionalidades nao documentadas do driver HTTP.sys do Windows para processar requisicoes HTTP maliciosas sem deixar rastros em logs tradicionais. Cada implante e customizado por alvo. **Papel no ecossistema MOIS:** Scarred Manticore funciona como **Initial Access Provider (IAP)** - penetra redes de alto valor, mantém acesso duradouro e data exfiltração, e transfere o acesso para operadores de destruicao ([[void-manticore|Void Manticore]]) quando necessário. Esta divisao de trabalho foi documentada nos ataques a Albania (2022) e Israel (2023-2024). ## Campanhas Notaveis | Período | Campanha | Alvo | Impacto | |---------|----------|------|---------| | 2020-2022 | Accesso inicial Oriente Medio | Governo, telecom, militares | Exfiltração de longo prazo | | 2022 | Albania Attack - DEV-0861 | Governo Albanian | Acesso inicial + dados exfiltrados | | 2022-2023 | Email Exfiltration ME | Kuwait, Saudi, Turkey, UAE | Comprometimento de Exchange servers | | 2023 | LIONTAIL Campaign | Oriente Medio - governo, telecom | Backdoors passivos em IIS servers | | 2024 | Handoff para Void Manticore | Israel | Wipers BiBi deployados após handoff | ## Arsenal - LIONTAIL Framework ```mermaid graph TB A["Reconhecimento Varredura de servidores IIS Exchange, web-facing Windows"] --> B["Exploração Exploits n-day em servidores publicos"] B --> C["Web Shell / FOXSHELL Acesso inicial Customizado por alvo"] C --> D["LIONTAIL Backdoor HTTP.sys driver nao documentado Payload em memoria - sem disco"] D --> E["Exfiltração Silenciosa Dados governamentais Meses ou anos de acesso"] E --> F["Handoff para Void Manticore Acesso transferido Wipers deployados"] classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef exploit fill:#c0392b,color:#fff,stroke:#922b21 classDef shell fill:#e67e22,color:#fff,stroke:#d35400 classDef liontail fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#2980b9,color:#fff,stroke:#1a5276 classDef handoff fill:#196f3d,color:#fff,stroke:#145a32 class A recon class B exploit class C shell class D liontail class E exfil class F handoff ``` ## Evolução Técnica do Arsenal ```mermaid timeline title Scarred Manticore - Evolução de Ferramentas 2019 : Web shells customizados : Acesso inicial IIS servers 2020 : FOXSHELL DLL backdoor : SDD backdoor .NET passivo 2021 : WINTAPIX kernel driver : Implante nivel kernel 2022 : Albania DEV-0861 : Cooperação com Storm-0842 2023 : LIONTAIL Framework : HTTP.sys - pico de sofisticacao 2024 : TEMPLEPLAY e VIROGREEN : Controllers RDP para terceiros 2025 : Atividade continuada : Persistência em redes ME ``` ## Técnicas Utilizadas - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Software Utilizado - [[liontail|LIONTAIL]] - Framework passivo de malware com backdoor via HTTP.sys nao documentado; cada implante customizado por alvo - [[foxshell|FOXSHELL]] - Web shell DLL customizada (predecessor de LIONTAIL) - [[wintapix|WINTAPIX]] - Driver malicioso de kernel para carregamento de shellcode em processos IIS - [[lionhead|LIONHEAD]] - Web forwarder para encadeamento de implantes internos - [[templeplay|TEMPLEPLAY]] - Controller GUI para acesso RDP a terceiros (pass-through para outros grupos MOIS) - [[virogreen|VIROGREEN]] - Controller GUI complementar ao TEMPLEPLAY - [[oatboat|OATBOAT]] - Loader de shellcode payloads - [[tunnelboi|TUNNELBOI]] - Controlador de rede para conexoes RDP remotas ## Relacao com Void Manticore A relacao entre Scarred Manticore e [[void-manticore|Void Manticore]] e central: Scarred e o **"preparador"** (meses de acesso silencioso, exfiltração) e Void e o **"executor"** (destruicao, wipes, operações de influencia). Em Albania (2022) e Israel (2023-2024), pesquisadores documentaram o "handoff" literal: Scarred interagindo com a rede exatamente no momento em que um novo web shell era deployado, seguido de atividade de Void Manticore. ## Relevância para o Brasil e LATAM Scarred Manticore tem atuado primariamente no Oriente Medio e Albania, mas seu modelo de **Initial Access Provider** e altamente relevante para organizacoes brasileiras por razoes estruturais: O grupo **vende ou transfere acesso** a outros operadores MOIS - o que significa que mesmo que Scarred Manticore nao tenha interesse direto no Brasil, um comprometimento bem-sucedido de uma organização brasileira com conexoes governamentais ou diplomaticas poderia ser monetizado ou transferido para grupos com motivacoes distintas. Servidores IIS e Exchange sem patch sao o principal vetor de entrada. Organizacoes brasileiras nos setores de **governo federal, telecomúnicacoes e financeiro** com exposicao de servicos Exchange ou IIS devem estar alertas para este ator. > **Mitigação critica:** Patchear Exchange e IIS imediatamente. Monitorar trafego HTTP incomum para URIs inesperados em servidores web (indicativo de LIONTAIL). Auditar drivers de kernel instalados em servidores criticos. ## Detecção e Defesa **Indicadores comportamentais:** - Requisicoes HTTP para URLs inesperadas em servidores IIS que retornam respostas válidas - Trafego de rede que "parece" trafego HTTP normal mas e comunicação C2 (LIONTAIL) - Novos drivers de kernel instalados em servidores web (WINTAPIX) - Novos web shells em servidores Exchange ou IIS expostos - Sessoes RDP inexplicaveis iniciadas de segmentos de rede de servidores web **Mitigacoes prioritarias:** - [[m1050-exploit-protection|M1050 - Exploit Protection]] - Patching agressivo de IIS e Exchange - [[m1030-network-segmentation|M1030 - Network Segmentation]] - Isolar servidores web-facing - [[m1047-audit|M1047 - Audit]] - Monitoramento de drivers de kernel instalados ## Referências - [1](https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is-listening/) Check Point Research - Scarred Manticore LIONTAIL (2023) - [2](https://thehackernews.com/2024/09/iranian-apt-unc1860-linked-to-mois.html) The Hacker News - UNC1860 MOIS Initial Access (2024) - [3](https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel/) Check Point Research - Void Manticore Handoff (2024) - [4](https://blog.polyswarm.io/mois-affiliated-threat-actor-using-liontail-framework) PolySwarm - MOIS Liontail Framework (2023) - [5](https://thehackernews.com/2024/05/iranian-mois-linked-hackers-behind.html) The Hacker News - Iran MOIS Albania Israel Wipers (2024)