İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağlı İranlı bir bilgisayar korsanlığı grubu, İsrail kuruluşlarını hedef alan Cavern (diğer adıyla Cav3rn) adı verilen, daha önce belgelenmemiş bir modüler komuta ve kontrol (C2) çerçevesini kullanıyor.
Öncelikle BT sağlayıcılarını ve hükümet sektörlerini hedef alan faaliyet, Check Point Research tarafından Cavern Manticore adı altında takip edilen ve MuddyWater ve Lyceum ile bazı düzeyde taktiksel örtüşmeleri paylaştığı söylenen bir tehdit kümesine atfedildi; ikincisi OilRig içinde bir alt grup olarak değerlendiriliyor.
Siber güvenlik şirketi, "Çerçeve, .NET Framework, .NET Karma Mod C++/CLI ve .NET Native AOT dahil olmak üzere farklı bileşenler arasında birden fazla derleme formatı kullanırken, paylaşılan bir .NET temeli etrafında oluşturulmuş olgun ve uyarlanabilir bir araç setini yansıtıyor" dedi.
"Derleme formatının kendisi, tersine mühendisleri birden fazla araç setine ve meta veri yeniden yapılandırma iş akışlarına zorlayan bir anti-analiz katmanı haline geliyor."
C2 çerçevesinin bileşenleri, Cavern Agent ve Cavern modülleri olarak kullanılır ve temel iletişim yetenekleri ile göreve özgü kullanım sonrası işlevsellik arasındaki sorumlulukların net bir şekilde paylaştırıldığını gösterir. Bu mimari, operatörlerin dağıtımları kurban profiline göre uyarlamasına, adli görünürlüğü azaltmasına ve keşif, veri hırsızlığı, tünel açma ve yanal hareket için özel modüller aracılığıyla kalıcı erişim sağlamasına olanak tanıdığı için doğal avantajlara sahiptir.
Nasıl Önlem Alınmalı?
Check Point Research tarafından belgelenen saldırı zinciri, SysAid'in yazılım güncelleme özelliği ile başlıyor; bu özellik, rakip tarafından, Cavern Agent'ı içeren truva atı haline getirilmiş bir DLL'nin ("uxtheme.dll") yürütülmesine yol açan bir DLL yandan yükleme zinciri başlatmak için kullanılıyor. Aracı, C2 sunucusuyla ("hospitalinstallation[.]com") iletişim kurmak ve HTTPS veya WebSocket üzerinden anında ek kullanım sonrası modülleri getirmek için bağımsız bir iletişim DLL modülünü ("n-HTCommp.dll") yükler.
Beş kadar DLL modülü ortaya çıkarıldı -
Sistem Güvenliği
mhm.dll , dosya işlemleri, numaralandırma, yinelemeli dosya arama, arşiv yönetimi ve çift yönlü dosya aktarımı için
, dosya işlemleri, numaralandırma, özyinelemeli dosya arama, arşiv yönetimi ve çift yönlü dosya aktarımı için db.dll , SQL veritabanı numaralandırması, sorgulama, dışa aktarma ve değiştirme için
, SQL veritabanı numaralandırması, sorgulaması, dışa aktarımı ve manipülasyonu için ode.dll , Active Directory keşfi, kullanıcı/grup numaralandırması ve LDAP kaba kuvvet girişimleri için
Uzmanların Görüşleri
, Active Directory keşfi, kullanıcı/grup numaralandırması ve LDAP kaba kuvvet girişimleri için n-ten.dll , ağ keşfi, bağlantı noktası taraması, paylaşım numaralandırması ve SMB kaba kuvvet girişimleri için
Önemli Gelişmeler
, ağ keşfi, bağlantı noktası taraması, paylaşım numaralandırması ve SMB kaba kuvvet denemeleri için n-sws.dll, SOCKS5 proxy ve WebSocket tünelleme için
Çerçevenin tanımlayıcı bir özelliği, bileşenlerini kapsayan üç farklı .NET derleme hedefini kullanmasıdır: mhm.dll, db.dll ve ode.dll saf .NET Framework modülleri iken, n-HTCommp.dll, n-ten.dll ve n-sws.dll, Yerel AOT (Vaktinden Önce) derlemesini kullanır. Ana aracı, uxtheme.dll, yönetilen .NET kodunu yerel C++ ile tek bir taşınabilir yürütülebilir dosyada birleştirir.
Gelecekte Ne Bekleniyor?
Aracının içine yerleştirilmiş olan birleşik bir modül dağıtıcısı, adları n- ile başlayan ve LoadLibraryA Windows API aracılığıyla yüklenen bileşenleri yerel DLL'ler olarak ele alırken, geri kalanı yönetilen .NET derlemeleri olarak yorumlanır ve AppDomain yalıtımı olarak bilinen bir mekanizma aracılığıyla yüklenir.
Check Point, "Çerçevenin anti-analiz duruşu, tersine mühendisleri çoklu araç setlerine ve meta veri yeniden yapılandırma iş akışlarına zorlayan alışılmadık .NET derleme formatlarına (Karma Mod C++/CLI ve Yerel AOT) dayanıyor ve ayrıca adli tıp karşıtı bir önlem olarak modül başına AppDomain izolasyonunu da içeriyor" diye açıkladı.
Detaylar ve Etkileri
Cavern Manticore tarafından düzenlenen saldırılar, tehdit aktörünün ilk başta tehlikeye atılan bir BT sağlayıcısından ikinci atlama sağlayıcısına geçmesini ve ardından nihai olarak amaçlanan hedef kuruluşa ulaşmasını içeriyordu; bu da onların yazılım tedarik zincirindeki güvenilir ilişkileri kendi avantajlarına göre silah haline getirme yeteneklerini gösteriyor.
Şirket, "Bu etkinlik, özellikle Uzaktan İzleme ve Yönetim (RMM) çözümlerinin uygulandığı yerlerde güvenilir hizmet sağlayıcı ilişkilerinin operasyonel değerini vurguluyor" dedi.
"Aktör, bu araçları kötüye kullanarak kurbanlar arasında yanal olarak hareket edebilir ve yasal güncellemeler gibi görünen kötü amaçlı yazılımlar dağıtabilir. Aktör ayrıca, bu araçlardan yararlanıyor gibi görünüyor. İlgilenilen hedeflere erişmek için tarayıcı tabanlı uzak masaüstü teknolojileri geliştirin ve bazı durumlarda, pano tabanlı kopyala-yapıştır veya dosya aktarma yetenekleri kısıtlandığında verileri dışarı çıkarmak için uzaktan yazdırma gibi yerleşik özellikleri kötüye kullanın."
Gelişme, İsrail ve ABD'nin İran'a karşı başlattığı ortak askeri operasyonun arka planında ortaya çıkıyor. Son aylarda, MuddyWater olarak takip edilen İran devleti destekli tehdit aktörünün, internete açık SmarterMail, n8n, N-central, Langflow ve Laravel Livewire sistemlerindeki bilinen güvenlik açıklarından yararlanarak, internete açık 12.000'den fazla sistem üzerinde geniş bir keşif kampanyası yürüttüğü gözlemlendi.
Teknik Analiz
İstismar edilen güvenlik açıklarının listesi aşağıdaki gibidir:
CVE-2025-52691 - SmarterMail uzaktan kod yürütme güvenlik açığı
- SmarterMail uzaktan kod yürütme güvenlik açığı CVE-2025-68613 - n8n uzaktan kod yürütme güvenlik açığı
- n8n uzaktan kod yürütme güvenlik açığı CVE-2025-9316 - N-Central kimlik doğrulamasız oturum kimliği oluşturma güvenlik açığı
Sonuç ve Değerlendirme
- N-Central kimlik doğrulamasız sessionID oluşturma güvenlik açığı CVE-2025-34291 - Langflow uzaktan kod yürütme güvenlik açığı
- Langflow uzaktan kod yürütme güvenlik açığı CVE-2025-54068 - Laravel Livewire uzaktan kod yürütme güvenlik açığı
Operasyonun, Mısır, İsrail ve Birleşik Arap Emirlikleri'ndeki havacılık, enerji ve kamu sektörü kuruluşları da dahil olmak üzere Orta Doğu'daki havacılık, enerji ve hükümet sektörlerine yönelik geniş bir keşiften, hedeflenen kimlik bilgileri toplama ve veri sızdırma saldırılarına dönüştüğü söyleniyor.
Oasis Security, "Operasyon, güvenlik açığından yararlanma, Outlook Web Access (OWA) kaba kuvvet saldırıları ve çoklu protokol iletişimini destekleyen yeni tanımlanan komuta ve kontrol (C2) denetleyicilerinin bir kombinasyonundan yararlandı" dedi. "Etkinlik, keşif ve erişim girişimlerinin ötesine geçerek hassas verilerin tehlikeye atılmış ortamlardan sızdırılmasıyla sonuçlandı."