İran Bağlantılı Hackerlar İsrail Hedeflerine Yeni Cavern C2 Çerçevesiyle Saldırıyor Yazılım

İran Bağlantılı Hackerlar İsrail Hedeflerine Yeni Cavern C2 Çerçevesiyle Saldırıyor

İran İstihbarat ve Güvenlik Bakanlığı'na bağlı hackerlar, İsrail'deki IT sağlayıcıları ve devlet kurumlarını hedef alan yeni Cavern C2 çerçevesini kul...

İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı bir hacker grubu, İsrail kuruluşlarını hedef almak için daha önce belgelenmemiş Cavern (Cav3rn) adlı modüler bir komuta ve kontrol (C2) çerçevesi kullanıyor. Check Point Research tarafından Cavern Manticore olarak izlenen tehdit kümesi, MuddyWater ve Lyceum ile taktiksel örtüşmeler paylaşıyor.

Cavern C2 çerçevesi, .NET tabanlı bir altyapı üzerine inşa edilmiş olgun ve uyarlanabilir bir araç seti sunuyor. Farklı bileşenlerde .NET Framework, .NET Mixed-Mode C++/CLI ve .NET Native AOT gibi çoklu derleme formatları kullanılıyor. Bu format, tersine mühendislik girişimlerini zorlaştırmak için bir anti-analiz katmanı oluşturuyor.

Saldırı zinciri, SysAid yazılım güncelleme özelliğinin DLL side-loading için kullanılmasıyla başlıyor. Cavern Agent içeren trojanize bir DLL (uxtheme.dll) çalıştırılıyor. Agent, C2 sunucusuna bağlanmak için n-HTCommp.dll modülünü yüklüyor ve ek sömürü sonrası modülleri HTTPS veya WebSocket üzerinden alıyor. Beş farklı DLL modülü tespit edildi: dosya işlemleri için mhm.dll, SQL veritabanı manipülasyonu için db.dll, Active Directory keşfi için ode.dll, ağ keşfi için n-ten.dll ve SOCKS5 proxy ile WebSocket tünellemesi için n-sws.dll.

Cavern Manticore operasyonları, başlangıçta ele geçirilen bir IT sağlayıcısından ikinci bir sağlayıcıya geçerek nihai hedefe ulaşıyor. Bu, güvenilir yazılım tedarik zinciri ilişkilerini silah haline getirme yeteneğini gösteriyor. MuddyWater grubu da son aylarda 12.000'den fazla internete açık sistemi taramak için SmarterMail, n8n, N-central, Langflow ve Laravel Livewire gibi sistemlerdeki güvenlik açıklarını kullandı. Bu saldırılar, Orta Doğu'da havacılık, enerji ve devlet sektörlerini hedef alan kimlik avı ve veri sızdırma operasyonlarına dönüştü.

Paylaş: