İran Bağlantılı Yeni Hacker Grubu 'Cavern Manticore' İsrail'i Hedef Aldı Siber Güvenlik

İran Bağlantılı Yeni Hacker Grubu 'Cavern Manticore' İsrail'i Hedef Aldı

Check Point Research, İran yönetimiyle bağlantılı yeni bir siber tehdit grubunun 2026 başından beri İsrail hükümet ve BT kuruluşlarını hedef aldığını ...

Check Point Research tarafından yayınlanan yeni bir rapora göre, İran hükümetiyle bağlantılı yeni bir siber tehdit grubu, 2026 yılının başından itibaren İsrail hükümet ve bilgi teknolojileri (BT) kuruluşlarını hedef almaktadır. Tel Aviv merkezli siber güvenlik firması, bu grubu 'Cavern Manticore' olarak takip ediyor. Grubun, İran İstihbarat ve Güvenlik Bakanlığı'na (MOIS) atfedilen MuddyWater ve Lyceum adlı iki tehdit grubuyla teknik benzerlikler taşıdığı belirtiliyor. Ayrıca, araştırmacılar grubun daha önce belgelenmemiş modüler bir komuta ve kontrol (C2) altyapısı kullandığını gözlemledi.

Check Point araştırmacıları, "Düşmanın, ABD askeri harekatı 'Operation Epic Fury' sırasında savunma ve hükümet sektörlerindeki kuruluşlara erişim sağlayabilmesi, hem yüksek operasyonel tempo hem de hedef seçiminde disiplinli bir yaklaşım sergiliyor" ifadelerini kullandı. Cavern Manticore, hedeflerin BT ortamlarına genellikle mevcut uzaktan izleme ve yönetim (RMM) yazılımlarını kötüye kullanarak erişiyor. Bu araçları kullanarak kurbanlar arasında yanal hareket edebiliyor ve meşru güncellemeler gibi görünen kötü amaçlı yazılımlar gönderebiliyor. Bir diğer yaygın ilk erişim vektörü ise, pano tabanlı kopyala-yapıştır veya dosya aktarım yeteneklerinin kısıtlı olduğu durumlarda veri sızdırmak için tarayıcı tabanlı uzak masaüstü araçlarını (örneğin uzaktan yazdırma) kullanmak.

İlk erişimi sağladıktan sonra, tehdit aktörü bir SysAid yazılım güncellemesini etkinleştirerek hedef ortama kötü amaçlı varlıklar yüklüyor. Cavern Manticore, kötü amaçlı kampanyalarını yürütmek için kendi modüler C2 çerçevesini kullanıyor. Araştırmacılar bu çerçeveyi "paylaşılan bir .NET temeli etrafında inşa edilmiş olgun ve uyarlanabilir bir araç seti" olarak tanımlıyor. Çerçeve, Cavern agent ve Cavern modules olmak üzere iki ana bileşenden oluşuyor. Cavern agent, saldırganların sunucularıyla temel iletişimi yöneten kalıcı bir arka kapıdır ve tespitten kaçınmak ve analizi zorlaştırmak için birden çok .NET derleme formatı (.NET Framework, .NET Mixed-Mode C++/CLI ve .NET Native AOT) kullanır.

Cavern modules ise keşif, veri hırsızlığı, tünelleme ve yanal hareket gibi görevler için işlevselliği genişleten özel sömürü sonrası araçlardır. Her modül, saldırıları kurban başına özelleştirmek için ayrı ayrı derlenir. Adli analizi engellemek için çerçeve, modül başına AppDomain izolasyonu kullanır ve savunmacıların tek bir tehlikeye atılmış cihazdan tam yetenekleri kurtarmasını önler. Bu modüler tasarım, saldırganların ayak izini en aza indirmesine, saldırıları özelleştirmesine ve kalıcılığı sürdürmesine olanak tanırken, bir bileşen tespit edilse bile diğerlerinin gizli kalmasını sağlar.

Paylaş: