Yeni İran-Nexus Hacking Grubu İsrail Hükümetini ve Bilişim Sektörlerini Hedefliyor Yazılım

Yeni İran-Nexus Hacking Grubu İsrail Hükümetini ve Bilişim Sektörlerini Hedefliyor

Check Point Research'e göre, İran hükümetine bağlı yeni bir siber tehdit grubu 2026'nın başlarından bu yana İsrail hükümetini ve BT kuruluşlarını hede...

Check Point Research'e göre, İran hükümetine bağlı yeni bir siber tehdit grubu 2026'nın başlarından bu yana İsrail hükümetini ve BT kuruluşlarını hedef alıyor.

Tel Aviv merkezli siber güvenlik firması tarafından 'Cavern Manticore' olarak takip edilen grup, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı olduğu düşünülen iki tehdit grubu olan MuddyWater ve Lyceum ile teknik örtüşmeleri paylaşıyor.

Check Point araştırmacıları ayrıca grubun daha önce belgelenmemiş modüler bir komuta ve kontrol (C2) altyapısı kullandığını da gözlemledi.

Teknik Analiz

Araştırmacılar, 6 Temmuz'da yayınlanan bir tehdit istihbarat raporunda şöyle yazdı: "Düşmanın ABD askeri harekatı 'Epik Öfke Operasyonu' sırasında savunma ve hükümet sektörlerindeki kuruluşlara erişim sağlama yeteneği, hem yüksek operasyonel tempoyu hem de hedef seçimine disiplinli bir yaklaşımı gösteriyor."

Cavern Manticore'un Modüler C2 Altyapısı

Detaylar ve Etkileri

Check Point'e göre Cavern Manticore, genellikle mevcut uzaktan izleme ve yönetim (RMM) yazılımını kötüye kullanarak hedeflerinin BT ortamlarına erişim sağlıyor.

Aktör, bu araçları kullanarak kurbanlar arasında yanal olarak hareket edebilir ve meşru güncellemeler gibi görünen kötü amaçlı yazılımlar dağıtabilir.

Sistem Güvenliği

Diğer bir yaygın ilk erişim vektörü, panoya dayalı kopyala-yapıştır veya dosya aktarma yetenekleri kısıtlandığında verileri dışarı çıkarmak için uzaktan yazdırma gibi tarayıcı tabanlı uzak masaüstü araçlarının kötüye kullanılmasını içerir.

Tehdit aktörü, ilk erişimi sağladıktan sonra SysAid'in yazılım güncellemesini etkinleştirir ve bu da hedeflenen ortama kötü amaçlı varlıkların yüklenmesine yol açar.

Sonuç ve Değerlendirme

Kötü niyetli kampanyaları yürütmek için Cavern Manticore, araştırmacılar tarafından "paylaşılan bir .NET temeli etrafında oluşturulmuş olgun ve uyarlanabilir bir araç seti" olarak tanımlanan kendi modüler C2 çerçevesini kullanıyor.

Nasıl Önlem Alınmalı?

Çerçeve, Check Point tarafından Cavern aracısı ve Cavern modülleri olarak takip edilen iki ana bileşenden oluşur:

Uzmanların Görüşleri

Cavern aracısı, tespitten kaçınmak ve analizi karmaşık hale getirmek için birden fazla .NET derleme formatı (.NET Framework, .NET Karma Mod C++/CLI ve .NET Native AOT) kullanarak saldırganların sunucularıyla çekirdek iletişimi yöneten kalıcı bir arka kapıdır.

Cavern modülleri, keşif, veri hırsızlığı, tünel açma ve yanal hareket gibi görevlerin işlevselliğini artıran, her biri kurban başına saldırıları uyarlamak için ayrı ayrı derlenen, istismar sonrası özel araçlardır.

Gelecekte Ne Bekleniyor?

Çerçeve, adli analizleri engellemek için modül başına AppDomain izolasyonunu kullanarak savunmacıların güvenliği ihlal edilmiş tek bir ana bilgisayarın tüm yeteneklerini kurtarmasını engeller.

Bu modüler tasarım, saldırganların ayak izini en aza indirmesine, saldırıları özelleştirmesine ve kalıcılığı korumasına olanak tanırken, bir bileşen tespit edilse bile diğerlerinin gizli kalmasını sağlar.

Paylaş: