Специалисты рассказала об эволюции иранской вредоносной платформы от Cav3rn до Cavern.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Иранские хакеры превратили привычные инструменты системных администраторов в путь к защищённым сетям. Группировка Cavern Manticore использует новую модульную платформу Cavern, чтобы атаковать государственные учреждения и ИТ-компании Израиля, выяснили специалисты Check Point . В некоторых случаях злоумышленники сначала взламывали поставщиков ИТ-услуг, а затем через их инфраструктуру добирались до более важных целей.
Активность Cavern Manticore отслеживают с начала 2026 года. Группировку связывают с Министерством разведки и национальной безопасности Ирана, а её инструменты имеют общие черты с разработками MuddyWater и Lyceum. Чтобы проникнуть в сеть в первый раз, хакеры злоупотребляли уже установленными в организациях системами удалённого управления, поэтому вредоносная активность могла выглядеть как обычная работа администраторов.
Проникнув в сеть, злоумышленники запускали Cavern. Платформа состоит из основного агента и отдельных модулей, которые операторы загружают в зависимости от поставленной задачи. Такой подход позволяет изучать внутреннюю сеть, работать с файлами и базами данных, искать пользователей и компьютеры в домене, проверять учётные данные и создавать туннели, чтобы получать доступ в дальнейшем.
Разработчики Cavern уделили особое внимание тому, чтобы платформу было сложнее анализировать. Компоненты платформы написаны на .NET, но собраны в трёх разных форматах. Чтобы изучить каждый вариант, специалистам приходится использовать отдельные инструменты и методы. Некоторые модули также скрывают важные строки и системные функции до момента запуска, из-за чего файлы сложнее проверять автоматически. Большинство найденных образцов почти не обнаруживались антивирусными системами.
Дополнительно защищает платформу то, как запускаются модули. Cavern помещает каждый компонент в отдельную область памяти, выполняет нужную задачу, а затем выгружает его. После того как работа завершается, в памяти остаётся меньше следов, которые могли бы изучить специалисты по безопасности. Платформа также умеет обновлять собственные компоненты и удалять ранее загруженные модули перед новым сеансом.
Специалисты обнаружили модули, которые управляют файлами, просматривают базы данных, изучают Active Directory, ведут разведку внутри сети и создают прокси-туннели. Один из компонентов позволяет расшифровывать защищённые данные пользователя, другой проверяет пары логинов и паролей, чтобы получить доступ к сетевым ресурсам. Операторы могут подбирать набор инструментов для каждой жертвы и не раскрывать всю платформу, если обнаружат один заражённый компьютер.
Анализ кода также показал, что Cavern развивали постепенно. Более ранние версии назывались Cav3rn и представляли собой крупные монолитные программы. Позже разработчики разделили возможности между отдельными модулями, добавили новые способы связи с управляющими серверами и сделали компоненты сложнее анализировать.
Check Point связывает Cavern Manticore с Ираном по совокупности технических признаков, инфраструктуры и сходства с предыдущими операциями. Группировка в основном атакует израильские государственные учреждения и ИТ-компании. В нескольких случаях взломанный поставщик услуг служил лишь промежуточным звеном на пути к более ценной организации.
Кампания показывает, что доверенные инструменты удалённого управления становятся удобным каналом для скрытых атак. Cavern Manticore использует легитимный доступ поставщиков ИТ-услуг, чтобы перемещаться между организациями и маскировать вредоносные действия под обычное администрирование. Модульная архитектура Cavern дополнительно мешает вовремя обнаруживать атаки, поскольку хакеры могут быстро менять набор инструментов, сохраняя основную платформу и доступ к заражённой инфраструктуре.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Иранские хакеры превратили привычные инструменты системных администраторов в путь к защищённым сетям. Группировка Cavern Manticore использует новую модульную платформу Cavern, чтобы атаковать государственные учреждения и ИТ-компании Израиля, выяснили специалисты Check Point . В некоторых случаях злоумышленники сначала взламывали поставщиков ИТ-услуг, а затем через их инфраструктуру добирались до более важных целей.
Активность Cavern Manticore отслеживают с начала 2026 года. Группировку связывают с Министерством разведки и национальной безопасности Ирана, а её инструменты имеют общие черты с разработками MuddyWater и Lyceum. Чтобы проникнуть в сеть в первый раз, хакеры злоупотребляли уже установленными в организациях системами удалённого управления, поэтому вредоносная активность могла выглядеть как обычная работа администраторов.
Проникнув в сеть, злоумышленники запускали Cavern. Платформа состоит из основного агента и отдельных модулей, которые операторы загружают в зависимости от поставленной задачи. Такой подход позволяет изучать внутреннюю сеть, работать с файлами и базами данных, искать пользователей и компьютеры в домене, проверять учётные данные и создавать туннели, чтобы получать доступ в дальнейшем.
Разработчики Cavern уделили особое внимание тому, чтобы платформу было сложнее анализировать. Компоненты платформы написаны на .NET, но собраны в трёх разных форматах. Чтобы изучить каждый вариант, специалистам приходится использовать отдельные инструменты и методы. Некоторые модули также скрывают важные строки и системные функции до момента запуска, из-за чего файлы сложнее проверять автоматически. Большинство найденных образцов почти не обнаруживались антивирусными системами.
Дополнительно защищает платформу то, как запускаются модули. Cavern помещает каждый компонент в отдельную область памяти, выполняет нужную задачу, а затем выгружает его. После того как работа завершается, в памяти остаётся меньше следов, которые могли бы изучить специалисты по безопасности. Платформа также умеет обновлять собственные компоненты и удалять ранее загруженные модули перед новым сеансом.
Специалисты обнаружили модули, которые управляют файлами, просматривают базы данных, изучают Active Directory, ведут разведку внутри сети и создают прокси-туннели. Один из компонентов позволяет расшифровывать защищённые данные пользователя, другой проверяет пары логинов и паролей, чтобы получить доступ к сетевым ресурсам. Операторы могут подбирать набор инструментов для каждой жертвы и не раскрывать всю платформу, если обнаружат один заражённый компьютер.
Анализ кода также показал, что Cavern развивали постепенно. Более ранние версии назывались Cav3rn и представляли собой крупные монолитные программы. Позже разработчики разделили возможности между отдельными модулями, добавили новые способы связи с управляющими серверами и сделали компоненты сложнее анализировать.
Check Point связывает Cavern Manticore с Ираном по совокупности технических признаков, инфраструктуры и сходства с предыдущими операциями. Группировка в основном атакует израильские государственные учреждения и ИТ-компании. В нескольких случаях взломанный поставщик услуг служил лишь промежуточным звеном на пути к более ценной организации.
Кампания показывает, что доверенные инструменты удалённого управления становятся удобным каналом для скрытых атак. Cavern Manticore использует легитимный доступ поставщиков ИТ-услуг, чтобы перемещаться между организациями и маскировать вредоносные действия под обычное администрирование. Модульная архитектура Cavern дополнительно мешает вовремя обнаруживать атаки, поскольку хакеры могут быстро менять набор инструментов, сохраняя основную платформу и доступ к заражённой инфраструктуре.
- Источник новости
- www.securitylab.ru