伊朗关联黑客使用新型 Cavern C2 框架攻击以色列组织
- 浏览次数 104
- 喜欢 0
一个隶属于伊朗情报与安全部的黑客组织一直在使用一个此前未被记录的模块化命令与控制框架,名为 Cavern(又名 Cav3rn),针对以色列组织。
该活动主要针对 IT 提供商和政府行业,被归因于 Check Point Research 以 Cavern Manticore 为代号追踪的一个威胁集群,该公司称其与 MuddyWater 和 Lyceum 存在一定程度的战术重叠,后者被评估为 OilRig 的一个子群组。
这家网络安全公司表示:"该框架反映了一个成熟且适应性强的工具集,建立在共享的 .NET 基础之上,同时在不同组件中使用多种编译格式,包括 .NET Framework、.NET Mixed-Mode C++/CLI 和 .NET Native AOT。"
"编译格式本身成为了一层反分析层,迫使逆向工程师使用多种工具集和元数据重建工作流程。"
该 C2 框架的组件被用作 Cavern Agent 和 Cavern 模块,在核心通信能力和特定任务的后渗透功能之间展示了明确的职责分工。这种架构具有固有优势,因为它允许操作者根据受害者档案定制部署、减少取证可见性,并通过用于侦察、数据窃取、隧道和横向移动的定制模块确保持久访问。
Check Point Research 记录的这条攻击链始于 SysAid 的软件更新功能,攻击者利用该功能发起 DLL 侧加载链,导致执行包含 Cavern Agent 的木马化 DLL ("uxtheme.dll")。Agent 本身加载一个独立的通信 DLL 模块 ("n-HTCommp.dll") 以联系 C2 服务器 ("hospitalinstallation[.]com"),并通过 HTTPS 或 WebSocket 动态获取额外的后渗透模块。
目前已发现多达五个 DLL 模块:
- mhm.dll:用于文件操作、枚举、递归文件搜索、归档处理和双向文件传输
- db.dll:用于 SQL 数据库枚举、查询、导出和操作
- ode.dll:用于 Active Directory 侦察、用户/组枚举和 LDAP 暴力破解尝试
- n-ten.dll:用于网络侦察、端口扫描、共享枚举和 SMB 暴力破解尝试
- n-sws.dll:用于 SOCKS5 代理和 WebSocket 隧道
该框架的一个显著特征是其在组件中使用了三种不同的 .NET 编译目标:mhm.dll、db.dll 和 ode.dll 是纯 .NET Framework 模块,而 n-HTCommp.dll、n-ten.dll 和 n-sws.dll 使用 Native AOT 编译。主 agent uxtheme.dll 将托管 .NET 代码与本机 C++ 结合在一个可移植可执行文件中。
Agent 中嵌入了一个统一的模块调度器,它将名称以 n- 开头的组件视为本机 DLL 并通过 LoadLibraryA Windows API 加载,而其余组件则被解释为托管 .NET 程序集,通过称为 AppDomain 隔离的机制加载。
Check Point 解释说:"该框架的反分析姿态依赖于不常见的 .NET 编译格式(Mixed-Mode C++/CLI 和 Native AOT),迫使逆向工程师使用多种工具集和元数据重建工作流程,同时使用每模块 AppDomain 隔离作为反取证措施。"
Cavern Manticore 策划的攻击涉及威胁行为者从最初被入侵的 IT 提供商转移到第二跳提供商,最终到达预期的目标组织,表明他们有能力利用软件供应链中的信任关系为自己谋利。
该公司指出:"该活动凸显了受信任服务提供商关系的运营价值,特别是在部署了远程监控和管理解决方案的情况下。"
"通过滥用这些工具,攻击者可以在受害者之间横向移动,并投递伪装成合法更新的恶意软件。该攻击者似乎还利用基于浏览器的远程桌面技术访问感兴趣的目标,并在某些情况下滥用内置功能(如远程打印)来外泄数据,当基于剪贴板的复制粘贴或文件传输功能受到限制时。"
这一事件发生在以色列和美国对伊朗发起的持续联合军事行动的背景下。近几个月来,被追踪为 MuddyWater 的伊朗国家支持的威胁行为者被观察到利用互联网暴露的 SmarterMail、n8n、N-central、Langflow 和 Laravel Livewire 系统中的已知安全漏洞,对超过 12,000 个互联网暴露系统进行了广泛的侦察活动。
被利用的漏洞列表如下:
- CVE-2025-52691 - SmarterMail 远程代码执行漏洞
- CVE-2025-68613 - n8n 远程代码执行漏洞
- CVE-2025-9316 - N-Central 未认证 sessionID 生成漏洞
- CVE-2025-34291 - Langflow 远程代码执行漏洞
- CVE-2025-54068 - Laravel Livewire 远程代码执行漏洞
据称,该行动已从广泛侦察转向针对中东地区航空、能源和政府部门的目标性凭证窃取和数据外泄攻击,包括埃及、以色列和阿拉伯联合酋长国的航空、能源和公共部门实体。
Oasis Security 表示:"该行动结合了漏洞利用、Outlook Web Access 暴力破解攻击以及新发现的、支持多协议通信的命令与控制控制器。该活动已超出侦察和访问尝试阶段,导致已确认从受感染环境中外泄了敏感数据。"