Un grupo de hackers iraní afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS) ha estado utilizando un marco modular de comando y control (C2) previamente indocumentado denominado Cavern (también conocido como Cav3rn) dirigido a organizaciones israelíes.
La actividad, que ha señalado principalmente a proveedores de TI y sectores gubernamentales, se ha atribuido a un grupo de amenazas rastreado por Check Point Research bajo el nombre Mantícora de cavernaque, según dijo, comparte cierto nivel de superposiciones tácticas con MuddyWater y Lyceum, el último de los cuales se considera un subgrupo dentro de OilRig.
«El marco refleja un conjunto de herramientas maduro y adaptable construido alrededor de una base .NET compartida, mientras utiliza múltiples formatos de compilación en diferentes componentes, incluidos .NET Framework, .NET Mixed-Mode C++/CLI y .NET. AOT nativo«, la empresa de ciberseguridad dicho.
«El formato de compilación en sí se convierte en la capa antianálisis que obliga a los ingenieros inversos a utilizar múltiples conjuntos de herramientas y flujos de trabajo de reconstrucción de metadatos».
Los componentes del marco C2 se utilizan como Cavern Agent y módulos Cavern, lo que demuestra una clara división de responsabilidades entre las capacidades de comunicación centrales y la funcionalidad posterior a la explotación específica de la misión. Esta arquitectura tiene ventajas inherentes, ya que permite a los operadores personalizar las implementaciones según el perfil de la víctima, reducir la visibilidad forense y garantizar el acceso persistente a través de módulos personalizados para reconocimiento, robo de datos, túneles y movimiento lateral.
La cadena de ataque documentada por Check Point Research comienza con la función de actualización de software de SysAid, que el adversario aprovecha para iniciar una cadena de carga lateral de DLL que conduce a la ejecución de un DLL troyanizado («uxtheme.dll») que contiene Cavern Agent. El agente, por su parte, carga un módulo DLL de comunicación independiente («n-HTCommp.dll») para contactar con el servidor C2 («hospitalinstallation[.]com») y recuperar módulos post-explotación adicionales sobre la marcha a través de HTTPS o WebSocket.
Se han descubierto hasta cinco módulos DLL:
- mhm.dllpara operaciones de archivos, enumeración, búsqueda recursiva de archivos, manejo de archivos y transferencia bidireccional de archivos
- db.dllpara enumeración, consulta, exportación y manipulación de bases de datos SQL
- ode.dllpara reconocimiento de Active Directory, enumeración de usuarios/grupos e intentos de fuerza bruta LDAP
- n-ten.dllpara reconocimiento de red, escaneo de puertos, enumeración de recursos compartidos e intentos de fuerza bruta SMB
- n-sws.dllpara proxy SOCKS5 y túnel WebSocket
Un rasgo definitorio del marco es el uso de tres objetivos de compilación .NET diferentes que abarcan sus componentes: mientras que mhm.dll, db.dll y ode.dll son módulos .NET Framework puros, n-HTCommp.dll, n-ten.dll y n-sws.dll utilizan la compilación nativa AOT (Ahead-of-Time). El agente principal, uxtheme.dll, combina código .NET administrado con C++ nativo en un único ejecutable portátil.
Integrado dentro del agente hay un despachador de módulos unificado que trata los componentes cuyos nombres comienzan con n- como archivos DLL nativos y se cargan a través del CargarBibliotecaA API de Windows, mientras que el resto se interpreta como ensamblados .NET administrados y se cargan a través de un mecanismo conocido como Aislamiento de dominio de aplicación.
«La postura anti-análisis del marco se basa en formatos de compilación .NET poco comunes (C++/CLI de modo mixto y AOT nativo) que obligan a los ingenieros inversos a utilizar múltiples conjuntos de herramientas y flujos de trabajo de reconstrucción de metadatos, junto con el aislamiento de AppDomain por módulo como medida anti-forense», explicó Check Point.
Los ataques orquestados por Cavern Manticore han implicado que el actor de la amenaza pase de un proveedor de TI comprometido inicial a un proveedor de segundo salto antes de llegar finalmente a la organización objetivo prevista, lo que indica su capacidad para convertirse en un arma. relaciones de confianza en la cadena de suministro de software para su beneficio.
«Esta actividad resalta el valor operativo de las relaciones confiables con los proveedores de servicios, particularmente donde se implementan soluciones de administración y monitoreo remoto (RMM)», señaló la compañía.
«Al abusar de estas herramientas, el actor puede moverse lateralmente entre las víctimas y entregar software malicioso disfrazado de actualizaciones legítimas. El actor también parece aprovechar las tecnologías de escritorio remoto basadas en navegador para acceder a objetivos de interés y, en algunos casos, abusar de funciones integradas como la impresión remota para filtrar datos cuando las capacidades de copiar y pegar con portapapeles o de transferencia de archivos están restringidas».
El acontecimiento se desarrolla en el contexto de la actual operación militar conjunta lanzada por Israel y Estados Unidos contra Irán. En los últimos meses, se ha observado que el actor de amenazas patrocinado por el estado iraní rastreado como MuddyWater lleva a cabo una amplia campaña de reconocimiento en más de 12.000 sistemas expuestos a Internet mediante la explotación de fallas de seguridad conocidas en los sistemas SmarterMail, n8n, N-central, Langflow y Laravel Livewire expuestos a Internet.
La lista de vulnerabilidades explotadas es la siguiente:
Se dice que la operación pasó de un reconocimiento amplio a ataques selectivos de recolección de credenciales y exfiltración de datos contra los sectores de aviación, energía y gobierno en el Medio Oriente, incluidas entidades de aviación, energía y sector público en Egipto, Israel y los Emiratos Árabes Unidos.
«La operación aprovechó una combinación de explotación de vulnerabilidades, ataques de fuerza bruta a Outlook Web Access (OWA) y controladores de comando y control (C2) recientemente identificados que admiten comunicación multiprotocolo», Oasis Security dicho. «La actividad avanzó más allá del reconocimiento y los intentos de acceso, lo que resultó en una filtración confirmada de datos confidenciales de entornos comprometidos».





