Логотип ШифрыШифры
ГлавнаяЖурналЛотыУзел ИИВойти
ГлавнаяЖурналЛотыУзел ИИ
Войти
Логотип ШифрыШифры2К26Версияъ1
EmailMAX
Назад к логу

Cavern Manticore взламывает IT-провайдеров Израиля через SysAid

7 июля 2026 г.•Репа
#атаки#тулзы#хакеры

Check Point Research зафиксировала новый кластер иранской разведки – Cavern Manticore, с привязкой к Ministry of Intelligence and Security (MOIS) и тактическими пересечениями с MuddyWater и Lyceum, подгруппой OilRig. Цели – IT-провайдеры и госсектор Израиля, но прямого удара по ним нет: группа закрепляется у одного подрядчика, продвигается ко второму и только затем заходит в целевую организацию, которой оба провайдера оказывают услуги. Эксплуатация цепочки доверия в аутсорс-модели сама по себе не новость, но здесь она подкреплена собственным C2-фреймворком.

Точка входа – функция обновления SysAid. Через неё разворачивают пакет с легитимным подписанным WinDirStat.exe, который штатным Windows DLL-резолвом подхватывает лежащий рядом троянизированный uxtheme.dll. Подпись легитимного исполняемого файла прикрывает чужой код – DLL sideloading в чистом виде, но payload внутри собственной разработки: агент модульного C2-фреймворка Cav3rn, он же Cavern.


Продолжение доступно по подписке

Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.

Оформить подписку →

Автор: hacker@shifry.local