İran Bağlantılı Hack Grubu, İsrail Hedeflerine Yönelik Yeni Cavern C2 Çerçevesini Kullanıyor Yazılım

İran Bağlantılı Hack Grubu, İsrail Hedeflerine Yönelik Yeni Cavern C2 Çerçevesini Kullanıyor

İran bağlantılı bir hacker grubu, İsrail organizasyonlarını hedef alan yeni Cavern C2 çerçevesiyle IT sağlayıcılarına ve devlet kurumlarına saldırıyor

Check Point Research tarafından yapılan bir araştırmaya göre, İran İstihbarat Bakanlığı (MOIS) ile bağlantılı bir hacker grubu, daha önce belgelenmemiş Cavern (Cav3rn) adlı modüler bir komuta ve kontrol (C2) çerçevesi kullanarak İsrail organizasyonlarını hedef alıyor. Cavern Manticore olarak adlandırılan bu tehdit kümesi, özellikle IT sağlayıcıları ve devlet sektörlerine odaklanmış durumda. Araştırmacılar, bu grubun MuddyWater ve Lyceum ile taktiksel benzerlikler taşıdığını, Lyceum'un ise OilRig'in bir alt grubu olduğunu belirtiyor.

Cavern C2 çerçevesi, .NET tabanlı olup farklı bileşenlerde .NET Framework, .NET Mixed-Mode C++/CLI ve .NET Native AOT gibi çeşitli derleme formatları kullanıyor. Bu durum, tersine mühendislik yapanların birden fazla araç seti ve meta-veri yeniden yapılandırma iş akışı kullanmasını zorunlu kılarak analiz karşıtı bir katman oluşturuyor. Çerçeve, Cavern Agent ve Cavern modülleri olarak iki ana bileşene ayrılıyor; agent, iletişim yeteneklerini yönetirken modüller, keşif, veri hırsızlığı, tünelleme ve yanal hareket gibi görevlere özgü işlevler sunuyor.

Saldırı zinciri, SysAid yazılım güncelleme özelliğinin kötüye kullanılmasıyla başlıyor. Saldırgan, DLL side-loading zinciri başlatarak trojanize edilmiş 'uxtheme.dll' dosyasını çalıştırıyor. Bu dosya, Cavern Agent'ı içeriyor ve ardından 'n-HTCommp.dll' iletişim modülünü yükleyerek C2 sunucusuna bağlanıyor. Beş farklı DLL modülü tespit edildi: mhm.dll (dosya işlemleri), db.dll (SQL veritabanı işlemleri), ode.dll (Active Directory keşfi), n-ten.dll (ağ keşfi) ve n-sws.dll (SOCKS5 proxy ve WebSocket tünelleme).

Uzmanların Görüşleri

Cavern Manticore grubu, başlangıçta ele geçirilen bir IT sağlayıcı üzerinden ikinci bir sağlayıcıya sıçrayarak hedef organizasyonlara ulaşıyor. Bu, güvenilir yazılım tedarik zinciri ilişkilerini silah haline getirme yeteneklerini gösteriyor. Araştırmacılar, grubun tarayıcı tabanlı uzak masaüstü teknolojilerini kullandığını ve veri sızdırmak için uzaktan yazdırma gibi özellikleri kötüye kullandığını belirtiyor. Bu gelişmeler, İsrail ve ABD'nin İran'a karşı ortak askeri operasyonu sürdürdüğü bir dönemde yaşanıyor.

Paylaş: