
Co znajdziesz w tym artykule?
Wprowadzenie do problemu
Cavern to nowo ujawniony, modułowy framework command-and-control wykorzystywany w operacjach cybernetycznych przypisywanych aktorowi powiązanemu z irańskim aparatem wywiadowczym. Narzędzie zostało zaprojektowane do elastycznego działania po uzyskaniu dostępu do środowiska ofiary i wspiera zarówno rekonesans, jak i kradzież danych, ruch lateralny oraz tunelowanie komunikacji.
Opisana kampania koncentrowała się głównie na organizacjach w Izraelu, zwłaszcza z sektorów IT i administracji. Szczególne znaczenie ma tutaj sposób operowania napastników, którzy wykorzystywali relacje zaufania pomiędzy dostawcami usług IT a ich klientami, aby przenikać do kolejnych środowisk.
W skrócie
- Kampania została powiązana z klastrem określanym jako Cavern Manticore.
- Ataki wykorzystywały zaufane relacje między dostawcami usług IT a organizacjami docelowymi.
- Framework Cavern ma architekturę modułową i korzysta z różnych modeli kompilacji .NET, co utrudnia analizę oraz detekcję.
- Łańcuch infekcji miał rozpoczynać się od funkcji aktualizacji oprogramowania SysAid i prowadzić do uruchomienia trojanizowanej biblioteki DLL.
Kontekst i historia
Aktywność związana z Cavern wpisuje się w szerszy trend operacji sponsorowanych przez państwo, w których atakujący nadużywają legalnych kanałów administracyjnych, zależności w łańcuchu dostaw oraz relacji zaufania. Tego typu działania są szczególnie skuteczne, ponieważ umożliwiają długotrwałe utrzymanie dostępu i poruszanie się między wieloma organizacjami bez konieczności prowadzenia odrębnych, głośnych włamań do każdego celu.
Badacze wskazują na podobieństwa taktyczne do aktywności kojarzonej z grupami MuddyWater, Lyceum i OilRig. W praktyce oznacza to wykorzystanie sprawdzonych metod post-exploitation, ukierunkowanych na infiltrację środowisk o wysokiej wartości operacyjnej i wywiadowczej.
Analiza techniczna
Framework Cavern składa się z agenta głównego oraz zestawu modułów aktywowanych zależnie od potrzeb operatora. Główny komponent był osadzony w trojanizowanej bibliotece uxtheme.dll, uruchamianej w ramach łańcucha DLL side-loading. Następnie agent ładował moduł komunikacyjny n-HTCommp.dll, odpowiedzialny za kontakt z infrastrukturą C2 i pobieranie kolejnych komponentów przez HTTPS lub WebSocket.
Zidentyfikowane moduły realizowały wyspecjalizowane zadania operacyjne:
mhm.dll— operacje plikowe, wyszukiwanie rekurencyjne, obsługa archiwów i transfer danych,db.dll— enumeracja, eksport i manipulacja bazami SQL,ode.dll— rekonesans Active Directory, enumeracja użytkowników i grup oraz próby brute force wobec LDAP,n-ten.dll— rekonesans sieciowy, skanowanie portów, enumeracja udziałów i próby brute force SMB,n-sws.dll— tunelowanie WebSocket oraz funkcje proxy SOCKS5.
Jedną z najbardziej charakterystycznych cech Cavern jest łączenie różnych modeli kompilacji w obrębie jednego zestawu narzędzi. Część modułów przygotowano jako klasyczne komponenty .NET Framework, inne wykorzystują Native AOT, a agent główny łączy kod zarządzany .NET z natywnym C++/CLI. Taki model znacząco utrudnia analizę malware, ponieważ wymaga użycia wielu narzędzi reverse engineering i pracy z różnymi formatami binarnymi.
Framework posiada również spójny mechanizm dystrybucji modułów. Biblioteki z prefiksem n- traktowane są jako natywne DLL i ładowane przez mechanizmy systemu Windows, natomiast pozostałe komponenty interpretowane są jako zestawy .NET uruchamiane w izolowanych domenach aplikacji. Taka architektura poprawia elastyczność operacyjną i jednocześnie ogranicza widoczność artefaktów.
Istotnym elementem kampanii był także sposób przemieszczania się pomiędzy organizacjami. Atakujący mieli przechodzić z początkowo naruszonego dostawcy IT do kolejnego pośrednika, a dopiero później do właściwego celu. W niektórych przypadkach wykorzystywano również technologie zdalnego pulpitu i funkcje zdalnego drukowania do wynoszenia danych, gdy standardowe kanały transferu były ograniczone.
Konsekwencje i ryzyko
Ryzyko związane z Cavern jest wysokie, ponieważ modułowa architektura pozwala napastnikom dostosowywać działania do charakterystyki ofiary. Dzięki temu mogą oni prowadzić ukierunkowane operacje, ograniczając jednocześnie liczbę widocznych artefaktów i zwiększając szanse na dłuższe pozostanie w środowisku.
Szczególnie niebezpieczne są możliwości związane z rekonesansem Active Directory, dostępem do baz danych, ruchem lateralnym oraz tunelowaniem sieciowym. Taki zestaw funkcji wskazuje na dojrzałe działania poeksploatacyjne, które mogą prowadzić zarówno do utraty poufnych danych, jak i do kompromitacji kolejnych systemów lub podmiotów powiązanych biznesowo.
Kampania pokazuje także, że organizacje nie powinny ograniczać modelu zagrożeń wyłącznie do własnego perymetru. Słabo zabezpieczony partner technologiczny lub dostawca utrzymujący zdalny dostęp do środowiska klienta może stać się punktem wejścia do znacznie szerszej operacji.
Rekomendacje
Organizacje korzystające z usług zewnętrznych dostawców IT powinny w pierwszej kolejności przeprowadzić przegląd relacji zaufania, dostępu zdalnego oraz integracji narzędzi administracyjnych i RMM. Uprawnienia serwisowe należy ograniczać do minimum, segmentować i chronić silnym uwierzytelnianiem wieloskładnikowym.
- monitorować procesy związane z ładowaniem bibliotek DLL i wykrywać anomalie wskazujące na DLL side-loading,
- kontrolować kanały aktualizacji oprogramowania oraz weryfikować integralność pakietów i bibliotek,
- wdrożyć segmentację sieci między środowiskami dostawców a infrastrukturą klienta,
- zwiększyć telemetrię dla Active Directory, LDAP, SMB, SQL oraz ruchu proxy i tunelowanego,
- wykrywać nietypowe użycie WebSocket i HTTPS przez procesy, które nie powinny realizować takich połączeń,
- regularnie audytować stacje administracyjne i serwery zarządzające używane przez partnerów zewnętrznych,
- stosować zasadę least privilege oraz dostęp just-in-time dla kont uprzywilejowanych,
- przygotować procedury reagowania na incydenty uwzględniające kompromitację partnera zewnętrznego.
Z perspektywy SOC i threat huntingu warto zwracać uwagę na nietypowe biblioteki w katalogach aplikacji biznesowych, dynamiczne pobieranie modułów po uruchomieniu procesu oraz ślady wskazujące na jednoczesne ładowanie komponentów .NET i natywnych DLL.
Podsumowanie
Cavern to przykład nowoczesnego frameworka C2 zaprojektowanego z myślą o elastycznych, ukierunkowanych operacjach post-exploitation. Połączenie modułowości, mieszanych formatów kompilacji i funkcji wspierających ruch lateralny sprawia, że zagrożenie jest istotne zarówno dla organizacji publicznych, jak i prywatnych.
Dla obrońców kluczowe pozostaje monitorowanie łańcucha dostaw usług IT, kontrola dostępu uprzywilejowanego oraz szybkie wykrywanie anomalii w sposobie ładowania bibliotek i komunikacji sieciowej. Kampania związana z Cavern pokazuje, że bezpieczeństwo partnerów technologicznych staje się dziś integralną częścią bezpieczeństwa całej organizacji.