Check Point Research зафиксировала новый кластер иранской разведки – Cavern Manticore, с привязкой к Ministry of Intelligence and Security (MOIS) и тактическими пересечениями с MuddyWater и Lyceum, подгруппой OilRig. Цели – IT-провайдеры и госсектор Израиля, но прямого удара по ним нет: группа закрепляется у одного подрядчика, продвигается ко второму и только затем заходит в целевую организацию, которой оба провайдера оказывают услуги. Эксплуатация цепочки доверия в аутсорс-модели сама по себе не новость, но здесь она подкреплена собственным C2-фреймворком.
Точка входа – функция обновления SysAid. Через неё разворачивают пакет с легитимным подписанным WinDirStat.exe, который штатным Windows DLL-резолвом подхватывает лежащий рядом троянизированный uxtheme.dll. Подпись легитимного исполняемого файла прикрывает чужой код – DLL sideloading в чистом виде, но payload внутри собственной разработки: агент модульного C2-фреймворка Cav3rn, он же Cavern.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Оформить подписку →Автор: hacker@shifry.local