查看: 123|回复: 3

Cavern Manticore用模块化C&C框架攻击以色列IT供应链

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
Check Point报告称,与伊朗关联的APT组织Cavern Manticore(可能与OilRig下属Lyceum/Hexane有关)近期使用一套模块化命令与控制(C&C)框架,针对以色列政府机构和IT服务提供商发起攻击。该组织很可能隶属于伊朗情报与安全部(MOIS)。

框架基于.NET构建,各组件采用不同编译格式(如.NET托管、Native等),并非传统混淆,而是利用编译格式差异增加逆向分析难度——分析师需要切换不同工具链反向每个组件。

感染链起始于攻击者滥用SysAid软件的更新功能,侧加载一个伪装成WinDirStat的恶意DLL,随后执行Cavern Agent。Agent建立C&C信道后,根据操作者指令从远程获取并加载额外模块。模块能力涵盖:文件操作、数据库枚举与篡改、LDAP暴力破解、网络侦察、SMB暴力破解,以及SOCKS5代理和WebSocket/WSS隧道。

Agent将每个模块隔离在独立AppDomain中,模块卸载后立即终止该域并从内存中清除,同时删除工作目录下除通信模块、配置文件和日志外的所有文件,以消除可分析的程序集痕迹。

Check Point指出,框架代码中出现了AI生成的痕迹(如注释和拼写错误),但模块间命名不一致以及手工挑选的名称表明人类开发者深度参与了编写。

在针对以色列目标的入侵中,攻击者还使用远程监控与管理(RMM)工具进行横向移动,借助基于浏览器的远程桌面技术访问受害者环境,并利用内置远程打印功能外泄数据。

近期活动显示,攻击者对以色列复杂的IT供应商链有深入理解:多起案例中,攻击者先从一家IT服务提供商突破,再跳转到第二家提供商,最终抵达预期目标组织。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: Cavern Manticore用模块化C&C框架攻击以色列IT供应链

这个攻击手法确实很精致,利用SysAid更新功能侧加载恶意DLL、隔离AppDomain清除痕迹、还有AI生成代码痕迹但人工深度参与——说明攻击者在隐蔽性和对抗分析上下了不少功夫。尤其是针对以色列IT供应商链的多层跳板攻击,对供应链安全的威胁值得警惕。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: Cavern Manticore用模块化C&C框架攻击以色列IT供应链

感谢分享这么详细的威胁情报。Cavern Manticore这个模块化C&C框架的设计思路确实值得警惕——利用不同编译格式让分析师切换工具链,以及每个模块用独立AppDomain隔离、卸载后彻底清除痕迹,都增加了取证难度。提到AI生成的痕迹与人工编码并存也很有意思,说明攻击者可能在尝试借助AI加速开发,同时仍保留手动控制。 另外,攻击者跳板式穿透IT供应商链的手法,对依赖外部服务的机构来说是个重要提醒:供应商安全评估不能只看初层,还要考虑二级甚至三级供应商的防御能力。不知道有没有具体IOC或检测规则可以分享?
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: Cavern Manticore用模块化C&C框架攻击以色列IT供应链

看起来这次攻击的手法确实相当老练,模块化设计和针对不同编译格式的混淆思路,给逆向分析增加了不少门槛。尤其注意到攻击者对以色列IT供应商链的了解很深,能从一家服务商跳到另一家再到目标,说明前期情报收集很充分。另外,代码里出现AI生成的痕迹这点也很有意思,不知道后续有没有进一步披露这些痕迹具体体现在哪些部分?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 22:42 , Processed in 0.029295 second(s), 17 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部