⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de hackers iraniano afiliado ao Ministério de Inteligência e Segurança do Irã (MOIS) tem utilizado uma estrutura modular de comando e controle (C2) anteriormente não documentada, chamada Cavern (também conhecida como Cav3rn), visando organizações israelenses.
A atividade, que destacou principalmente fornecedores de TI e setores governamentais, foi atribuída a um grupo de ameaças rastreado pela Check Point Research sob o apelido de Cavern Manticore, que, segundo ela, compartilha algum nível de sobreposições táticas com MuddyWater e Lyceum, o último dos quais é avaliado como um subgrupo dentro da OilRig.
“A estrutura reflete um conjunto de ferramentas maduro e adaptável construído em torno de uma base .NET compartilhada, enquanto usa vários formatos de compilação em diferentes componentes, incluindo .NET Framework, .NET Mixed-Mode C++/CLI e .NET Native AOT”, disse a empresa de segurança cibernética.
"O próprio formato de compilação se torna a camada anti-análise que força os engenheiros reversos a usar vários conjuntos de ferramentas e fluxos de trabalho de reconstrução de metadados."
Os componentes da estrutura C2 são usados como Cavern Agent e módulos Cavern, demonstrando uma clara divisão de responsabilidades entre as principais capacidades de comunicação e a funcionalidade pós-exploração específica da missão. Esta arquitetura tem vantagens inerentes, pois permite que os operadores adaptem as implantações com base no perfil da vítima, reduzam a visibilidade forense e garantam acesso persistente através de módulos personalizados para reconhecimento, roubo de dados, tunelamento e movimento lateral.
A cadeia de ataque documentada pela Check Point Research começa com o recurso de atualização de software do SysAid, que é aproveitado pelo adversário para iniciar uma cadeia de carregamento lateral de DLL que leva à execução de uma DLL trojanizada ("uxtheme.dll") contendo o Cavern Agent. O agente, por sua vez, carrega um módulo DLL de comunicação independente ("n-HTCommp.dll") para entrar em contato com o servidor C2 ("hospitalinstallation[.]com") e buscar módulos pós-exploração adicionais rapidamente por HTTPS ou WebSocket.
Até cinco módulos DLL foram descobertos -
mhm.dll, para operações de arquivo, enumeração, pesquisa recursiva de arquivos, manipulação de arquivos e transferência bidirecional de arquivos
db.dll, para enumeração, consulta, exportação e manipulação de banco de dados SQL
ode.dll, para reconhecimento do Active Directory, enumeração de usuários/grupos e tentativas de força bruta LDAP
n-ten.dll, para reconhecimento de rede, verificação de portas, enumeração de compartilhamento e tentativas de força bruta SMB
n-sws.dll, para proxy SOCKS5 e tunelamento WebSocket
Uma característica definidora da estrutura é o uso de três alvos de compilação .NET diferentes abrangendo seus componentes: enquanto mhm.dll, db.dll e ode.dll são módulos puros do .NET Framework, n-HTCommp.dll, n-ten.dll e n-sws.dll fazem uso da compilação Native AOT (Ahead-of-Time). O agente principal, uxtheme.dll, combina código .NET gerenciado com C++ nativo em um único executável portátil.
Incorporado ao agente está um despachante de módulo unificado que trata componentes cujos nomes começam com n- como DLLs nativas e carregados por meio da API LoadLibraryA do Windows, enquanto o restante é interpretado como assemblies .NET gerenciados e carregado por meio de um mecanismo conhecido como isolamento AppDomain.
“A postura anti-análise da estrutura depende de formatos de compilação .NET incomuns (C++/CLI de modo misto e AOT nativo) que forçam os engenheiros reversos a usar vários conjuntos de ferramentas e fluxos de trabalho de reconstrução de metadados, juntamente com o isolamento AppDomain por módulo como uma medida anti-forense”, explicou Check Point.
Os ataques orquestrados pela Cavern Manticore envolveram a mudança do agente da ameaça de um fornecedor de TI inicialmente comprometido para um fornecedor de segundo salto antes de finalmente atingir a organização-alvo pretendida, indicando a sua capacidade de transformar em vantagem relações de confiança na cadeia de fornecimento de software.
“Esta atividade destaca o valor operacional das relações confiáveis entre provedores de serviços, particularmente onde soluções de monitoramento e gerenciamento remoto (RMM) são implantadas”, observou a empresa.
“Ao abusar dessas ferramentas, o ator pode mover-se lateralmente entre as vítimas e entregar software malicioso disfarçado de atualizações legítimas. O ator também parece aproveitar tecnologias de desktop remoto baseadas em navegador para acessar alvos de interesse e, em alguns casos, abusar de recursos integrados, como impressão remota para exfiltrar dados quando os recursos de copiar e colar baseados na área de transferência ou de transferência de arquivos são restritos.
O desenvolvimento desenrola-se no contexto da operação militar conjunta em curso lançada por Israel e pelos EUA contra o Irão. Nos últimos meses, o ator de ameaça patrocinado pelo Estado iraniano, rastreado como MuddyWater, foi observado conduzindo uma ampla campanha de reconhecimento em mais de 12.000 sistemas expostos à Internet, explorando falhas de segurança conhecidas em SmarterMail, n8n, N-central, Langflow e Laravel Livew expostos à Internet.
A atividade, que destacou principalmente fornecedores de TI e setores governamentais, foi atribuída a um grupo de ameaças rastreado pela Check Point Research sob o apelido de Cavern Manticore, que, segundo ela, compartilha algum nível de sobreposições táticas com MuddyWater e Lyceum, o último dos quais é avaliado como um subgrupo dentro da OilRig.
“A estrutura reflete um conjunto de ferramentas maduro e adaptável construído em torno de uma base .NET compartilhada, enquanto usa vários formatos de compilação em diferentes componentes, incluindo .NET Framework, .NET Mixed-Mode C++/CLI e .NET Native AOT”, disse a empresa de segurança cibernética.
"O próprio formato de compilação se torna a camada anti-análise que força os engenheiros reversos a usar vários conjuntos de ferramentas e fluxos de trabalho de reconstrução de metadados."
Os componentes da estrutura C2 são usados como Cavern Agent e módulos Cavern, demonstrando uma clara divisão de responsabilidades entre as principais capacidades de comunicação e a funcionalidade pós-exploração específica da missão. Esta arquitetura tem vantagens inerentes, pois permite que os operadores adaptem as implantações com base no perfil da vítima, reduzam a visibilidade forense e garantam acesso persistente através de módulos personalizados para reconhecimento, roubo de dados, tunelamento e movimento lateral.
A cadeia de ataque documentada pela Check Point Research começa com o recurso de atualização de software do SysAid, que é aproveitado pelo adversário para iniciar uma cadeia de carregamento lateral de DLL que leva à execução de uma DLL trojanizada ("uxtheme.dll") contendo o Cavern Agent. O agente, por sua vez, carrega um módulo DLL de comunicação independente ("n-HTCommp.dll") para entrar em contato com o servidor C2 ("hospitalinstallation[.]com") e buscar módulos pós-exploração adicionais rapidamente por HTTPS ou WebSocket.
Até cinco módulos DLL foram descobertos -
mhm.dll, para operações de arquivo, enumeração, pesquisa recursiva de arquivos, manipulação de arquivos e transferência bidirecional de arquivos
db.dll, para enumeração, consulta, exportação e manipulação de banco de dados SQL
ode.dll, para reconhecimento do Active Directory, enumeração de usuários/grupos e tentativas de força bruta LDAP
n-ten.dll, para reconhecimento de rede, verificação de portas, enumeração de compartilhamento e tentativas de força bruta SMB
n-sws.dll, para proxy SOCKS5 e tunelamento WebSocket
Uma característica definidora da estrutura é o uso de três alvos de compilação .NET diferentes abrangendo seus componentes: enquanto mhm.dll, db.dll e ode.dll são módulos puros do .NET Framework, n-HTCommp.dll, n-ten.dll e n-sws.dll fazem uso da compilação Native AOT (Ahead-of-Time). O agente principal, uxtheme.dll, combina código .NET gerenciado com C++ nativo em um único executável portátil.
Incorporado ao agente está um despachante de módulo unificado que trata componentes cujos nomes começam com n- como DLLs nativas e carregados por meio da API LoadLibraryA do Windows, enquanto o restante é interpretado como assemblies .NET gerenciados e carregado por meio de um mecanismo conhecido como isolamento AppDomain.
“A postura anti-análise da estrutura depende de formatos de compilação .NET incomuns (C++/CLI de modo misto e AOT nativo) que forçam os engenheiros reversos a usar vários conjuntos de ferramentas e fluxos de trabalho de reconstrução de metadados, juntamente com o isolamento AppDomain por módulo como uma medida anti-forense”, explicou Check Point.
Os ataques orquestrados pela Cavern Manticore envolveram a mudança do agente da ameaça de um fornecedor de TI inicialmente comprometido para um fornecedor de segundo salto antes de finalmente atingir a organização-alvo pretendida, indicando a sua capacidade de transformar em vantagem relações de confiança na cadeia de fornecimento de software.
“Esta atividade destaca o valor operacional das relações confiáveis entre provedores de serviços, particularmente onde soluções de monitoramento e gerenciamento remoto (RMM) são implantadas”, observou a empresa.
“Ao abusar dessas ferramentas, o ator pode mover-se lateralmente entre as vítimas e entregar software malicioso disfarçado de atualizações legítimas. O ator também parece aproveitar tecnologias de desktop remoto baseadas em navegador para acessar alvos de interesse e, em alguns casos, abusar de recursos integrados, como impressão remota para exfiltrar dados quando os recursos de copiar e colar baseados na área de transferência ou de transferência de arquivos são restritos.
O desenvolvimento desenrola-se no contexto da operação militar conjunta em curso lançada por Israel e pelos EUA contra o Irão. Nos últimos meses, o ator de ameaça patrocinado pelo Estado iraniano, rastreado como MuddyWater, foi observado conduzindo uma ampla campanha de reconhecimento em mais de 12.000 sistemas expostos à Internet, explorando falhas de segurança conhecidas em SmarterMail, n8n, N-central, Langflow e Laravel Livew expostos à Internet.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #ligados #ao #irã #usam #a #nova #estrutura #cavern #c2 #para #atingir #organizações #israelenses
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário