Novinky

Íránská skupina Cavern Manticore útočí na izraelské organizace novým rámcem C2

Novinky Date: Zobrazení: 4

Íránská skupina Cavern Manticore útočí na izraelské organizace novým rámcem C2

Výzkumníci Check Pointu popsali dosud nezdokumentovaný modulární command-and-control rámec s krycím názvem Cavern, který íránská skupina napojená na tamní ministerstvo zpravodajství nasazuje především proti poskytovatelům IT služeb a vládním institucím v Izraeli.

Skupina, kterou Check Point Research sleduje pod označením Cavern Manticore, podle výzkumníků sdílí část taktik se skupinami MuddyWater a Lyceum, přičemž druhá jmenovaná je považována za podskupinu íránské operace OilRig. Rámec Cavern je postavený na společném základu .NET, ale jednotlivé komponenty využívají tři různé způsoby kompilace – klasický .NET Framework, smíšený režim C++/CLI a takzvané Native AOT, tedy kompilaci předem do strojového kódu. Podle Check Pointu se tím sama forma kompilace stává vrstvou ztěžující analýzu, protože nutí forenzní analytiky přepínat mezi různými nástroji a rekonstruovat metadata pro každý typ komponenty zvlášť.

Rámec se dělí na hlavního agenta a doplňkové moduly, což útočníkům umožňuje nasazení přizpůsobit konkrétní oběti, omezit forenzní stopy a udržet trvalý přístup pomocí účelových modulů pro průzkum, krádež dat, tunelování i pohyb po síti. Útok podle zdokumentovaného řetězce začíná zneužitím funkce aktualizace softwaru SysAid, přes kterou útočník spustí řetězec DLL side-loadingu vedoucí ke spuštění trojanizované knihovny uxtheme.dll obsahující samotného agenta Cavern. Ten následně načte komunikační modul, který se přes HTTPS nebo WebSocket spojí s řídicím serverem a stahuje další moduly podle potřeby.

Image

Výzkumníci zaznamenali celkem pět doplňkových modulů – pro práci se soubory a jejich přenos, pro dotazování a export SQL databází, pro průzkum Active Directory včetně slovníkových útoků na LDAP, pro síťový průzkum a skenování portů a konečně pro tunelování provozu přes SOCKS5 a WebSocket. Vestavěný přepínač modulů rozlišuje, zda jde o nativní knihovnu, kterou načte přímo přes systémové volání Windows, nebo o spravovanou .NET sestavu, kterou izoluje do vlastní domény aplikace jako dodatečné opatření proti forenznímu zkoumání.

Podle Check Pointu útočníci při některých kampaních postupovali od kompromitovaného poskytovatele IT služeb k dalšímu poskytovateli v řetězci, než se dostali k samotnému cíli – tedy zneužívali důvěryhodné vztahy v dodavatelském řetězci softwaru, včetně nástrojů pro vzdálenou správu, aby se mohli pohybovat mezi obětmi a doručovat škodlivý software maskovaný jako legitimní aktualizace. Aktivita podle výzkumníků probíhá na pozadí pokračujícího vojenského konfliktu mezi Izraelem a Spojenými státy na jedné straně a Íránem na straně druhé; se skupinou MuddyWater byla v posledních měsících spojena i rozsáhlá průzkumná kampaň mířící na více než 12 000 veřejně dostupných systémů se zranitelnostmi v produktech SmarterMail, n8n, N-central, Langflow a Laravel Livewire, která později přešla k cílené krádeži přihlašovacích údajů a exfiltraci dat z leteckého, energetického a vládního sektoru v Egyptě, Izraeli a Spojených arabských emirátech.

Další články