Check Point araştırmacıları, İran'ın İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu düşünülen Cavern Manticore adlı gelişmiş kalıcı tehdit (APT) aktörünün, İsrail'deki kuruluşları hedef alan son saldırılarında modüler bir komuta ve kontrol (C&C) çerçevesi kullandığını tespit etti. APT'nin özellikle devlet kurumları ve BT sağlayıcılarına odaklandığı belirtiliyor. Grup, daha önce OilRig alt grubu Lyceum (Hexane ve SiameseKitten olarak da bilinir) ile ilişkilendiriliyor.
Cavern Manticore'un C&C çerçevesi, .NET kullanılarak oluşturulmuş uyarlanabilir bir araç seti içeriyor. Bileşenlerde farklı derleme formatları kullanılarak bir anti-analiz katmanı oluşturuluyor. Check Point, 'Bu geleneksel anlamda bir gizleme değil; çerçevede paketleyici, kontrol akışı düzleştirme veya string şifreleme yok. Bunun yerine, derleme formatının kendisi anti-analiz katmanı haline geliyor çünkü her formatı tersine çevirmek için farklı araç zincirleri ve iş akışları gerekiyor' açıklamasında bulundu.
Bileşenler, ajan ve modül olarak kullanılarak temel iletişim işlevselliğini sızma sonrası yeteneklerden ayırıyor. Bu sayede saldırganlar, dağıtımları her kurbana göre özelleştirebiliyor ve güvenliği ihlal edilmiş ortamlara erişimlerini genişletebiliyor. Enfeksiyon zinciri, SysAid'in yazılım güncelleme özelliğinin kötüye kullanılmasıyla başlıyor ve WinDirStat DLL'sinin yan yüklemesiyle Cavern ajanı çalıştırılıyor. Ajan, C&C iletişimi kurduktan sonra operatörden gelen komutlara göre ek modüller indiriyor.
Dedike modüller, dosya işlemleri, veritabanı numaralama ve manipülasyonu, LDAP kaba kuvvet, ağ keşfi ve SMB kaba kuvvet ile SOCKS5 proxy ve WebSocket/WSS tünelleme gibi işlemleri destekliyor. Ajan, yönetilen ve yerel modüller kullanıyor. Check Point, Cavern çerçevesinin muhtemelen bir yapay zeka modeli kullanılarak oluşturulduğunu, ancak kod yorumları, yazım hataları ve modüller arasındaki tutarsızlıkların insan müdahalesinin önemli olduğunu gösterdiğini belirtiyor. İsrail hedeflerine yönelik saldırılarda APT, yanal hareket için uzaktan izleme ve yönetim çözümleri ile veri sızdırmak için tarayıcı tabanlı uzak masaüstü teknolojileri kullandı.