
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Framework command-and-control, czyli C2, to zestaw narzędzi pozwalających operatorom zdalnie zarządzać zainfekowanymi systemami, uruchamiać kolejne moduły oraz prowadzić działania po uzyskaniu dostępu do środowiska ofiary. W najnowszej opisanej kampanii powiązanej z aktorem przypisywanym Iranowi badacze zidentyfikowali nowy framework o nazwie Cavern, używany przeciwko organizacjom w Izraelu, szczególnie z sektorów IT i administracji publicznej.
Znaczenie tej kampanii wykracza poza samą obecność nowego malware. To przykład nowoczesnej operacji cyberwywiadowczej, w której technicznie dojrzałe narzędzia łączą się z nadużyciem zaufanych kanałów administracyjnych i relacji z dostawcami usług IT.
W skrócie
Badacze opisali wcześniej nieudokumentowany, modułowy framework C2 nazwany Cavern, wykorzystywany przez klaster określany jako Cavern Manticore. Narzędzie ma wspierać pełen zakres działań po przejęciu dostępu: od komunikacji z serwerem operatora, przez rozpoznanie sieci i Active Directory, po operacje na plikach, bazach danych oraz tunelowanie ruchu.
- Atak miał rozpoczynać się od nadużycia funkcji aktualizacji w SysAid.
- W łańcuchu wykonania wykorzystano DLL side-loading.
- Główny agent ładował kolejne moduły w zależności od potrzeb operacyjnych.
- Komunikacja z infrastrukturą C2 odbywała się przez HTTPS i WebSocket.
- Celem były głównie organizacje rządowe oraz dostawcy usług IT.
Kontekst / historia
Aktywność przypisano podmiotowi działającemu w irańskim ekosystemie operacji cybernetycznych. W analizie wskazano podobieństwa taktyczne do znanych wcześniej grup kojarzonych z Iranem, takich jak MuddyWater czy Lyceum. Tego typu kampanie pokazują ciągłość rozwoju państwowych lub quasi-państwowych zdolności ofensywnych, które coraz częściej wykorzystują nie tylko phishing, lecz także relacje zaufania w łańcuchu dostaw usług i oprogramowania.
Wybór ofiar nie był przypadkowy. Kompromitacja dostawcy IT lub podmiotu świadczącego zdalne usługi administracyjne może umożliwić przejście do kolejnych środowisk bez potrzeby prowadzenia wielu niezależnych włamań. To model szczególnie atrakcyjny dla operacji cyberwywiadowczych, ponieważ pozwala skalować zasięg i jednocześnie ograniczać bezpośrednią ekspozycję operatora.
Analiza techniczna
Architektura Cavern została opisana jako dojrzały, modułowy framework zbudowany wokół wspólnego fundamentu .NET, ale łączący różne techniki kompilacji. Część komponentów działa jako klasyczne moduły .NET Framework, część wykorzystuje Native AOT, a główny agent ma łączyć kod zarządzany .NET z natywnym C++/CLI. Taka konstrukcja znacząco utrudnia analizę malware, ponieważ poszczególne elementy wymagają odmiennych metod reverse engineeringu.
Łańcuch ataku miał rozpoczynać się od funkcji aktualizacji w SysAid. Napastnicy wykorzystywali ten mechanizm do uruchomienia sekwencji DLL side-loading, której końcowym etapem było wykonanie spreparowanej biblioteki uxtheme.dll zawierającej Cavern Agent. Następnie agent ładował moduł komunikacyjny n-HTCommp.dll, odpowiedzialny za kontakt z serwerem C2 oraz pobieranie dalszych komponentów operacyjnych.
W ujawnionej analizie wskazano kilka kluczowych modułów funkcjonalnych:
- mhm.dll – operacje na plikach, enumeracja zasobów, wyszukiwanie danych, obsługa archiwów i transfer plików,
- db.dll – enumeracja i manipulacja bazami SQL,
- ode.dll – rozpoznanie Active Directory, enumeracja użytkowników i grup oraz próby brute force wobec LDAP,
- n-ten.dll – rozpoznanie sieciowe, skanowanie portów, enumeracja udziałów i próby brute force wobec SMB,
- n-sws.dll – funkcje proxy SOCKS5 oraz tunelowanie ruchu przez WebSocket.
Na uwagę zasługuje również sposób ładowania modułów. Biblioteki z prefiksem „n-” były traktowane jako natywne DLL i uruchamiane z użyciem standardowych mechanizmów systemu Windows. Pozostałe komponenty ładowano jako zestawy .NET z wykorzystaniem izolacji AppDomain. Taki podział zwiększa elastyczność frameworka, a jednocześnie utrudnia analizę śladów pozostawionych po incydencie.
Istotny jest także aspekt operacyjny kampanii. Według analizy napastnicy przemieszczali się od początkowo skompromitowanego dostawcy IT do kolejnego podmiotu pośredniczącego, a dopiero później do właściwej organizacji docelowej. To klasyczny przykład wykorzystania zaufanych relacji w łańcuchu dostaw usług oraz nadużycia narzędzi zdalnego monitoringu i zarządzania do ruchu bocznego.
Konsekwencje / ryzyko
Ryzyko związane z Cavern należy ocenić jako wysokie. Framework wspiera szerokie spektrum działań post-exploitation, od rozpoznania i enumeracji po eksfiltrację danych oraz poruszanie się między systemami. Modularna konstrukcja pozwala operatorom ograniczać liczbę używanych komponentów do tych, które są potrzebne wobec konkretnej ofiary, co zmniejsza ślad operacyjny i utrudnia detekcję.
Szczególnie zagrożone są organizacje korzystające z platform helpdeskowych, agentów RMM, centralnych systemów aktualizacji i zewnętrznych usług administracyjnych. W takich środowiskach złośliwy kod może zostać uruchomiony w kontekście procesu uznawanego za legalny, co osłabia skuteczność części klasycznych mechanizmów bezpieczeństwa.
Dodatkowym problemem jest profil ofiar. Jeśli celem są instytucje publiczne i podmioty o wysokiej wartości wywiadowczej, priorytetem napastników zwykle nie jest szybkie zakłócenie działania, lecz długotrwałe utrzymanie dostępu, kradzież informacji, mapowanie zależności organizacyjnych i technicznych oraz dyskretna eksfiltracja danych.
Rekomendacje
Organizacje powinny zweryfikować bezpieczeństwo całego łańcucha administracyjnego, a nie tylko własnych stacji i serwerów. Dotyczy to platform aktualizacyjnych, narzędzi helpdesk, agentów RMM, kont serwisowych oraz serwerów wykorzystywanych przez partnerów i dostawców IT.
- Przeprowadzić przegląd relacji zaufania z dostawcami i ograniczyć uprawnienia kont serwisowych do minimum.
- Monitorować ładowanie bibliotek DLL w procesach aktualizacyjnych i administracyjnych, zwłaszcza pod kątem side-loadingu oraz nietypowych ścieżek wykonywania.
- Logować i analizować połączenia wychodzące przez HTTPS i WebSocket inicjowane przez narzędzia administracyjne.
- Wykonywać audyty Active Directory, monitorować enumerację LDAP oraz anomalie w dostępie do udziałów SMB.
- Segmentować sieć, aby kompromitacja jednego dostawcy lub jednego serwera zarządzającego nie otwierała drogi do krytycznych segmentów.
- Przygotować playbooki reagowania na incydenty z udziałem zewnętrznych dostawców, obejmujące izolację kanałów zdalnego zarządzania, rotację poświadczeń i analizę ostatnich wdrożeń.
Podsumowanie
Cavern to przykład nowoczesnego frameworka C2 zaprojektowanego z myślą o elastycznych i długotrwałych operacjach cyberwywiadowczych. Połączenie modułowej architektury, technik utrudniających analizę oraz wykorzystania relacji zaufania w ekosystemie usług IT sprawia, że kampania stanowi poważne zagrożenie dla organizacji publicznych i prywatnych.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest praktyczny: obrona nie może kończyć się na granicy własnej infrastruktury. Ochroną trzeba objąć także dostawców, kanały aktualizacji, systemy zdalnego zarządzania i wszystkie uprzywilejowane integracje, które mogą stać się pomostem do ataku.
Źródła
- https://thehackernews.com/2026/07/iran-linked-hackers-use-new-cavern-c2.html
- https://learn.microsoft.com/en-us/windows/win32/api/libloaderapi/nf-libloaderapi-loadlibrarya
- https://learn.microsoft.com/en-us/dotnet/core/deploying/native-aot/
- https://learn.microsoft.com/en-us/dotnet/framework/app-domains/
- https://securelist.com/operation-triangulation-supply-chain/114358/