İran Bağlantılı Bilgisayar Korsanları, İsrail Kuruluşlarını Hedef Alan Yeni Cavern C2 Çerçevesi Kullanıyor Yazılım

İran Bağlantılı Bilgisayar Korsanları, İsrail Kuruluşlarını Hedef Alan Yeni Cavern C2 Çerçevesi Kullanıyor

İran bağlantılı bir hacker grubu, İsrail kuruluşlarını hedef alan yeni bir komuta-kontrol çerçevesi olan Cavern'i kullanıyor.

İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı bir hacker grubu, daha önce belgelenmemiş modüler bir komuta-kontrol (C2) çerçevesi olan Cavern (diğer adıyla Cav3rn) kullanarak İsrail kuruluşlarını hedef alıyor. Check Point Research tarafından Cavern Manticore olarak izlenen bu tehdit kümesi, özellikle IT sağlayıcıları ve devlet sektörlerini hedef alıyor ve MuddyWater ile Lyceum gruplarıyla taktiksel benzerlikler taşıyor. Lyceum, OilRig grubunun bir alt kümesi olarak değerlendiriliyor.

C2 çerçevesi, .NET tabanlı modüler bir yapıya sahip olup, farklı bileşenlerde .NET Framework, .NET Mixed-Mode C++/CLI ve .NET Native AOT gibi çeşitli derleme formatları kullanıyor. Check Point, bu derleme formatının tersine mühendislik yapanları birden çok araç seti ve metaveri yeniden yapılandırma iş akışına zorlayan bir anti-analiz katmanı oluşturduğunu belirtiyor. Çerçeve, Cavern Agent ve Cavern modülleri olarak iki ana bileşenden oluşuyor ve keşif, veri hırsızlığı, tünelleme ve yanal hareket gibi görevler için özelleştirilmiş modüller sunuyor.

Saldırı zinciri, SysAid yazılım güncelleme özelliğinin kötüye kullanılmasıyla başlıyor. Saldırgan, DLL yan yükleme zinciri başlatarak Cavern Agent içeren truva atılı bir DLL (uxtheme.dll) çalıştırıyor. Agent, bağımsız bir iletişim DLL modülü (n-HTCommp.dll) yükleyerek C2 sunucusuyla HTTPS veya WebSocket üzerinden bağlantı kuruyor ve ek sömürü sonrası modülleri indiriyor. Keşfedilen beş DLL modülü arasında dosya işlemleri, SQL veritabanı manipülasyonu, Active Directory keşfi, ağ taraması ve SOCKS5 proxy ile WebSocket tünelleme bulunuyor.

Cavern Manticore saldırıları, ilk ele geçirilen IT sağlayıcısından ikinci bir sağlayıcıya geçerek hedef kuruluşa ulaşma şeklinde ilerliyor. Bu, saldırganların yazılım tedarik zincirindeki güvenilir ilişkileri silah haline getirebildiğini gösteriyor. Check Point, bu faaliyetin özellikle Uzaktan İzleme ve Yönetim (RMM) çözümlerinin kullanıldığı durumlarda güvenilir hizmet sağlayıcı ilişkilerinin operasyonel değerini vurguladığını belirtiyor. Ayrıca, İran devlet destekli MuddyWater grubunun son aylarda 12.000'den fazla internet erişimli sistemi hedef alan geniş bir keşif kampanyası yürüttüğü ve SmarterMail, n8n, N-central, Langflow ve Laravel Livewire sistemlerindeki bilinen güvenlik açıklarını kullandığı bildirildi.

Paylaş: