伊朗关联黑客组织使用新型 Cavern C2 框架攻击以色列组织
导语:伊朗情报和安全部(MOIS)关联黑客组织使用全新模块化 C2 框架 Cavern 攻击以色列 IT 提供商和政府机构,Check Point Research 揭示其与 MuddyWater 和 Lyceum 的战术关联。
一个与伊朗情报和安全部(MOIS)有关联的伊朗黑客组织,正在使用一款此前未被记录的模块化命令与控制(C2)框架 Cavern(又名 Cav3rn),针对以色列组织发起攻击。该活动主要瞄准 IT 服务提供商和政府部门,已被 Check Point Research 归因至其追踪的威胁集群 Cavern Manticore。Check Point Research 表示,该集群与 MuddyWater 和 Lyceum(后者被评估为 OilRig 的一个子组)在战术层面存在一定程度的重叠。
Check Point Research 在报告中指出:"该框架基于共享的 .NET 基础构建,反映出一套成熟且适应性强的工具集,同时在不同组件中使用了多种编译格式,包括 .NET Framework、.NET Mixed-Mode C++/CLI 以及 .NET Native AOT。""这种编译格式本身成为一种反分析层,迫使逆向工程师使用多种工具集并执行元数据重建工作流程。"
该 C2 框架的组件作为 Cavern Agent 和 Cavern 模块使用,展示了核心通信能力与特定任务的后渗透功能之间清晰的职责划分。这种架构具有内在优势,使操作者能够根据受害者档案定制部署,减少取证可见性,并通过用于侦察、数据窃取、隧道和横向移动的定制模块确保持续访问。

Check Point Research 记录的攻击链始于 SysAid 的软件更新功能,攻击者利用该功能启动 DLL 侧加载链,最终执行一个包含 Cavern Agent 的特洛伊化 DLL("uxtheme.dll")。该 Agent 加载一个独立的通信 DLL 模块("n-HTCommp.dll"),通过 HTTPS 或 WebSocket 联系 C2 服务器(hospitalinstallation[.]com),并按需获取其他后渗透模块。
该框架的一个显著特征是其组件中使用了三种不同的 .NET 编译目标:mhm.dll、db.dll 和 ode.dll 是纯 .NET Framework 模块;n-HTCommp.dll、n-ten.dll 和 n-sws.dll 使用 Native AOT(预编译)编译;主 Agent uxtheme.dll 则在一个可移植可执行文件中将托管 .NET 代码与原生 C++ 结合。Agent 内置一个统一的模块调度程序,将以 n- 开头的组件视为通过 LoadLibraryA Windows API 加载的原生 DLL,其余则通过名为 AppDomain 隔离的机制解释为托管 .NET 程序集并加载。Check Point 解释说:"该框架的反分析姿态依赖于不常见的 .NET 编译格式(Mixed-Mode C++/CLI 和 Native AOT),迫使逆向工程师使用多种工具集并执行元数据重建工作流程,同时将每个模块的 AppDomain 隔离作为反取证措施。"
由 Cavern Manticore 策划的攻击涉及威胁行为者从最初被入侵的 IT 提供商转移到第二跳提供商,最终到达预期的目标组织,这表明他们有能力将软件供应链中的可信关系武器化以谋取利益。Check Point 指出:"该活动突出了可信服务提供商关系的运营价值,特别是在部署了远程监控和管理(RMM)解决方案的环境中。""通过滥用这些工具,行为者可以在受害者之间横向移动,并以合法更新的形式投递恶意软件。行为者似乎还利用基于浏览器的远程桌面技术访问感兴趣的目标,并在某些情况下滥用远程打印等内置功能,在剪贴板复制粘贴或文件传输能力受限时外泄数据。"
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/iran-linked-hackers-use-new-cavern-c2.html
作者:info@thehackernews.com (The Hacker News)

