🌐 Іранський фреймворк Cavern C2 атакує Ізраїль

Іранське угруповання Cavern Manticore, пов’язане з розвідкою Ірану, розгорнуло шкідливу платформу командного управління Cavern проти ізраїльських ІТ-компаній та держсектору. Головна особливість загрози — використання рідкісних форматів компіляції .NET. Це створює складний шар захисту від аналізу, змушуючи фахівців застосовувати декілька різних інструментів для дослідження коду.

Атака починається через компрометацію функції оновлення софту SysAid, куди впроваджується підмінена бібліотека uxtheme.dll з Cavern Agent. Агент зв’язується з сервером хакерів і завантажує модулі для розвідки в Active Directory, сканування портів та крадіжки файлів через SOCKS5 і WebSocket. Хакери використовують довірені відносини з ІТ-провайдерами та рішення віддаленого моніторингу (RMM) для прихованого переміщення всередині мереж жертв.