Een Iraanse hackgroep die verbonden is aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) hanteert een voorheen ongedocumenteerd modulair commando-en-controle (C2) raamwerk genaamd Cavern (ook bekend als Cav3rn) dat zich richt op Israëlische organisaties.
De activiteit, die voornamelijk IT-providers en overheidssectoren heeft uitgekozen, wordt toegeschreven aan een dreigingscluster dat door Check Point Research wordt gevolgd onder de naam Grot Manticorewaarvan wordt gezegd dat het een zekere mate van tactische overlap vertoont met MuddyWater en Lyceum, waarvan de laatste wordt beschouwd als een subgroep binnen OilRig.
“Het raamwerk weerspiegelt een volwassen en aanpasbare toolset die is gebouwd rond een gedeelde .NET-basis, terwijl meerdere compilatieformaten worden gebruikt voor verschillende componenten, waaronder .NET Framework, .NET Mixed-Mode C++/CLI en .NET Native AOT”, aldus het cyberbeveiligingsbedrijf.
“Het compilatieformaat zelf wordt de anti-analyselaag die reverse-engineers dwingt om meerdere toolsets en workflows voor het reconstrueren van metadata te gebruiken.”
De componenten van het C2-framework worden gebruikt als Cavern Agent- en Cavern-modules, waarmee een duidelijke verdeling van verantwoordelijkheden wordt gedemonstreerd tussen kerncommunicatiemogelijkheden en missiespecifieke post-exploitatiefunctionaliteit. Deze architectuur heeft inherente voordelen omdat het de operators in staat stelt om implementaties aan te passen op basis van het slachtofferprofiel, de forensische zichtbaarheid te verminderen en permanente toegang te garanderen via op maat gemaakte modules voor verkenning, gegevensdiefstal, tunneling en zijdelingse verplaatsing.
De door Check Point Research gedocumenteerde aanvalsketen begint met de software-updatefunctie van SysAid, die door de tegenstander wordt gebruikt om een DLL-zijlaadketen te initiëren die leidt tot de uitvoering van een getrojaniseerde DLL (“uxtheme.dll”) die de Cavern Agent bevat. De agent laadt op zijn beurt een zelfstandige communicatie-DLL-module (“n-HTCommp.dll”) om contact op te nemen met de C2-server (“hospitalinstallation(.)com”) en direct aanvullende post-exploitatiemodules op te halen via HTTPS of WebSocket.
Er zijn maar liefst vijf DLL-modules ontdekt –
- mhm.dllvoor bestandsbewerkingen, opsomming, recursief zoeken naar bestanden, archiefverwerking en bidirectionele bestandsoverdracht
- db.dllvoor opsomming, query’s, export en manipulatie van SQL-databases
- ode.dllvoor Active Directory-verkenning, inventarisatie van gebruikers/groepen en brute force-pogingen van LDAP
- n-ten.dllvoor netwerkverkenning, poortscannen, share-opsomming en SMB-brute-force-pogingen
- n-sws.dllvoor SOCKS5-proxy en WebSocket-tunneling
Een bepalend kenmerk van het raamwerk is het gebruik van drie verschillende .NET-compilatiedoelen die de componenten ervan omvatten: terwijl mhm.dll, db.dll en ode.dll pure .NET Framework-modules zijn, maken n-HTCommp.dll, n-ten.dll en n-sws.dll gebruik van Native AOT-compilatie (Ahead-of-Time). De hoofdagent, uxtheme.dll, combineert beheerde .NET-code met native C++ in één draagbaar uitvoerbaar bestand.
Ingebed in de agent is een uniforme moduledispatcher die componenten waarvan de namen beginnen met n- als native DLL’s behandelt en wordt geladen via de LoadLibraryA Windows API, terwijl de rest wordt geïnterpreteerd als beheerde .NET-assemblies en wordt geladen via een mechanisme dat bekend staat als AppDomain-isolatie.

“De anti-analyse-houding van het raamwerk is gebaseerd op ongebruikelijke .NET-compilatieformaten (Mixed-Mode C++/CLI en Native AOT) die reverse-engineers dwingen in meerdere toolsets en metadata-reconstructie-workflows, samen met AppDomain-isolatie per module als een anti-forensische maatregel”, legt Check Point uit.
Aanvallen georkestreerd door Cavern Manticore hebben ertoe geleid dat de bedreigingsacteur van een aanvankelijk gecompromitteerde IT-provider naar een tweede-hop-provider is gegaan voordat hij uiteindelijk de beoogde doelorganisatie bereikte, wat aangeeft dat zij in staat zijn om vertrouwde relaties in de software-toeleveringsketen in hun voordeel te bewapenen.
“Deze activiteit benadrukt de operationele waarde van relaties met vertrouwde dienstverleners, vooral waar Remote Monitoring and Management (RMM)-oplossingen worden ingezet”, aldus het bedrijf.
“Door misbruik te maken van deze tools kan de actor zich zijdelings tussen de slachtoffers bewegen en kwaadaardige software afleveren, vermomd als legitieme updates. De actor lijkt ook gebruik te maken van browsergebaseerde remote desktop-technologieën om toegang te krijgen tot interessante doelen en, in sommige gevallen, ingebouwde functies te misbruiken, zoals printen op afstand om gegevens te exfiltreren wanneer de mogelijkheden voor kopiëren en plakken op het klembord of voor bestandsoverdracht beperkt zijn.”
De ontwikkeling speelt zich af tegen de achtergrond van de voortdurende gezamenlijke militaire operatie van Israël en de VS tegen Iran. In de afgelopen maanden werd de door de Iraanse staat gesponsorde dreigingsacteur gevolgd terwijl MuddyWater een brede verkenningscampagne voerde over meer dan 12.000 aan internet blootgestelde systemen door gebruik te maken van bekende beveiligingsfouten in aan internet blootgestelde SmarterMail-, n8n-, N-central-, Langflow- en Laravel Livewire-systemen.
De lijst met misbruikte kwetsbaarheden is als volgt:
Er wordt gezegd dat de operatie zich heeft ontwikkeld van brede verkenningen naar gerichte aanvallen op het verzamelen van gegevens en data-exfiltratie tegen de luchtvaart-, energie- en overheidssectoren in het Midden-Oosten, inclusief de luchtvaart-, energie- en publieke sectorentiteiten in Egypte, Israël en de Verenigde Arabische Emiraten.
“De operatie maakte gebruik van een combinatie van misbruik van kwetsbaarheden, brute force-aanvallen van Outlook Web Access (OWA) en nieuw geïdentificeerde command-and-control (C2)-controllers die multi-protocolcommunicatie ondersteunen”, aldus Oasis Security. “De activiteit ging verder dan verkennings- en toegangspogingen, resulterend in een bevestigde exfiltratie van gevoelige gegevens uit gecompromitteerde omgevingen.”