Cavern C2 keretrendszer
A Check Point Research a Cavern (Cav3rn) nevű moduláris .NET-alapú C2 keretrendszert azonosított, amelyet a Cavern Manticore néven követett, iráni kötődésű APT-csoport használ izraeli szervezetek ellen. A kutatók a csoportot közepes–magas bizonyossággal az iráni Hírszerzési és Biztonsági Minisztériumhoz (MOIS) kötik, és technikai átfedéseket találtak a MuddyWater és az Lyceum (OilRig) műveleteivel. A kampányok elsősorban kormányzati szervezeteket és IT-szolgáltatókat céloznak. A kezdeti hozzáférést több esetben már meglévő Remote Monitoring and Management eszközök kihasználásával szerezték meg, egy megfigyelt incidensben pedig a SysAid szoftverfrissítési mechanizmusát használták egy WinDirStat DLL side-loadingcsomag terjesztésére, amely egy trójai uxtheme.dll betöltésével indította el a Cavern agentet.
A Cavern keretrendszer minden komponense .NET alapú, de különböző formátumokban fordítják le. A rendszer két fő elemből áll, a kompromittált gépen futó Cavern Agentből, valamint dinamikusan letölthető Cavern Module modulokból. Az agent felelős a C2-kapcsolat kiépítéséért, a konfiguráció fogadásáért, a modulok letöltéséért és végrehajtásáért, míg a modulok külön feladatokat látnak el, például rendszerfelderítést, fájlkezelést, parancsvégrehajtást, hitelesítő adatok gyűjtését vagy további payloadok telepítését. A moduláris felépítés lehetővé teszi, hogy a támadók csak az adott művelethez szükséges komponenseket telepítsék, csökkentve ezzel a felismerés esélyét.
A Check Point szerint a Cavern jelentős fejlődést mutat a korábbi, monolitikus Cav3rn malware-hez képest. A keretrendszer titkosított kommunikációt alkalmaz, támogatja a memóriaalapú modulbetöltést, valamint számos elemzés- és észlelésnehezítő technikát használ. A kutatók infrastruktúra-, fejlesztési és kódbeli egyezések alapján arra a következtetésre jutottak, hogy a Cavern Manticore nem új szereplő, hanem egy MOIS-hez köthető iráni kiberkémkedési művelet továbbfejlesztett eszközkészletét használja, amely nagyobb rugalmasságot, jobb bővíthetőséget és hosszú távú célzott műveletek támogatását biztosítja. A jelentés részletes IOC-kat is közzétesz a fenyegetés felderítésének támogatására.