Cavern: Framework C2 mới từ nhóm hacker liên kết với Iran nhắm vào các tổ chức Israel
Các nhà nghiên cứu an ninh mạng vừa phát hiện một framework C2 tinh vi mang tên Cavern, được sử dụng bởi nhóm tin tặc liên kết với Bộ Tình báo và An ninh Iran để tấn công các nhà cung cấp dịch vụ IT...
Một nhóm tin tặc có liên hệ với Bộ Tình báo và An ninh Iran (MOIS) đang triển khai một framework điều khiển và ra lệnh (C2) dạng mô-đun chưa từng được ghi nhận trước đây, có tên gọi là Cavern (hay còn gọi là Cav3rn). Mục tiêu chính của chiến dịch này là các nhà cung cấp dịch vụ IT và các tổ chức chính phủ tại Israel.
Check Point Research, đơn vị theo dõi nhóm này dưới tên gọi Cavern Manticore, cho biết framework này có nhiều điểm tương đồng về chiến thuật với các nhóm khét tiếng như MuddyWater và Lyceum (một nhóm con của OilRig). Điểm đáng chú ý của Cavern nằm ở cấu trúc .NET đa dạng, kết hợp giữa .NET Framework, .NET Mixed-Mode C++/CLI và .NET Native AOT. Việc sử dụng nhiều định dạng biên dịch khác nhau đóng vai trò như một lớp bảo vệ chống phân tích, gây khó khăn đáng kể cho các chuyên gia khi thực hiện kỹ thuật đảo ngược (reverse engineering).
Cơ chế tấn công và vận hành
Chuỗi tấn công bắt đầu bằng việc lợi dụng tính năng cập nhật phần mềm của SysAid để thực hiện kỹ thuật DLL side-loading. Kết quả là một tệp DLL độc hại (“uxtheme.dll”) chứa Cavern Agent được thực thi. Agent này sau đó tải các mô-đun bổ sung thông qua giao thức HTTPS hoặc WebSocket từ máy chủ C2 (“hospitalinstallation[.]com”).
Hệ thống bao gồm nhiều mô-đun chuyên biệt:
- mhm.dll: Quản lý tệp tin và truyền tải dữ liệu.
- db.dll: Thao tác và truy vấn cơ sở dữ liệu SQL.
- ode.dll: Thu thập thông tin Active Directory và tấn công LDAP.
- n-ten.dll: Quét mạng và tấn công SMB.
- n-sws.dll: Thiết lập proxy SOCKS5 và đường hầm WebSocket.
Lợi dụng chuỗi cung ứng
Cavern Manticore không tấn công trực tiếp mà thường xâm nhập qua các nhà cung cấp dịch vụ IT trung gian. Bằng cách lạm dụng các công cụ quản lý từ xa (RMM) và giả mạo các bản cập nhật hợp pháp, nhóm này có thể di chuyển ngang (lateral movement) trong mạng lưới của nạn nhân. Trong một số trường hợp, chúng còn sử dụng công nghệ máy tính từ xa qua trình duyệt và lạm dụng các tính năng hệ thống như in từ xa để đánh cắp dữ liệu khi các phương thức truyền thống bị chặn.
Chiến dịch mở rộng
Song song với việc triển khai Cavern, các nhóm liên kết với Iran cũng đang thực hiện chiến dịch quét lỗ hổng quy mô lớn trên hơn 12.000 hệ thống công khai trên internet. Các lỗ hổng được khai thác bao gồm:
- CVE-2025-52691 (SmarterMail)
- CVE-2025-68613 (n8n)
- CVE-2025-9316 (N-Central)
- CVE-2025-34291 (Langflow)
- CVE-2025-54068 (Laravel Livewire)
Chiến dịch này không chỉ dừng lại ở việc do thám mà còn nhắm vào việc thu thập thông tin xác thực và exfiltrate dữ liệu nhạy cảm từ các lĩnh vực hàng không, năng lượng và chính phủ tại Trung Đông.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.