İran Bağlantılı Hack Grubu 'Cavern Manticore' Modüler C&C Çerçevesiyle İsrail'i Hedef Alıyor Siber Güvenlik

İran Bağlantılı Hack Grubu 'Cavern Manticore' Modüler C&C Çerçevesiyle İsrail'i Hedef Alıyor

İran bağlantılı Cavern Manticore APT grubu, .NET tabanlı modüler C&C çerçevesi kullanarak İsrail'deki kurumlara saldırıyor.

Check Point araştırmacıları, İran bağlantılı gelişmiş kalıcı tehdit (APT) aktörü 'Cavern Manticore'un, İsrail'deki kuruluşları hedef alan son saldırılarında modüler bir komuta-kontrol (C&C) çerçevesi kullandığını tespit etti. Bu APT grubunun, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu ve OilRig alt grubu Lyceum (Hexane ve SiameseKitten olarak da bilinir) ile ilişkili olabileceği belirtiliyor. Cavern Manticore, özellikle devlet kurumları ve BT sağlayıcılarını hedef alıyor.

Cavern Manticore'un C&C çerçevesi, .NET kullanılarak oluşturulmuş uyarlanabilir bir araç seti içeriyor. Farklı bileşenlerde çeşitli derleme formatları kullanılarak bir anti-analiz katmanı oluşturuluyor. Check Point, bu yöntemin geleneksel anlamda bir obfuscation olmadığını, ancak derleme formatının kendisinin bir anti-analiz katmanı haline geldiğini vurguluyor. Her formatın farklı bir araç zinciri ve iş akışıyla tersine mühendislik gerektirmesi, analistlerin sürekli bağlam değiştirmesine neden oluyor.

Saldırı zinciri, SysAid yazılım güncelleme özelliğinin kötüye kullanılmasıyla başlıyor. WinDirStat DLL'sinin sideload edilmesiyle Cavern ajanı çalıştırılıyor. Ardından C&C iletişimi kuruluyor ve operatörden gelen komutlara göre ek modüller indiriliyor. Dedike modüller arasında dosya işlemleri, veritabanı numaralandırma ve manipülasyonu, LDAP kaba kuvvet saldırıları, ağ keşfi, SMB kaba kuvvet saldırıları, SOCKS5 proxy ve WebSocket/WSS tünelleme yer alıyor. Ajan, her modülü ayrı bir AppDomain'de izole ediyor ve modül kaldırıldıktan sonra bu alanı sonlandırarak bellekten siliyor.

Check Point, Cavern çerçevesinin büyük olasılıkla bir yapay zeka modeli kullanılarak oluşturulduğunu, ancak kod yorumları, yazım hataları ve modüller arasındaki tutarsızlıkların insan müdahalesinin önemli olduğunu gösterdiğini belirtiyor. İsrail hedeflerine yönelik saldırılarda, APT grubunun yanal hareket için uzaktan izleme ve yönetim (RMM) çözümleri kullandığı, ayrıca tarayıcı tabanlı uzak masaüstü teknolojileri ve veri sızdırma için uzaktan yazdırma gibi yerleşik özelliklerden yararlandığı gözlemlendi. Araştırmacılar, tehdit aktörünün İsrail'in siber ekosistemindeki karmaşık BT tedarikçi zincirlerini iyi anladığını ve birincil hedefe ulaşmak için birden fazla tedarikçi üzerinden ilerlediğini vurguluyor.

Paylaş: