Um agente de ameaça persistente avançada (APT) ligado ao Irã tem usado uma estrutura modular de comando e controle (C&C) em ataques recentes contra organizações em Israel, segundo a Check Point.
Rastreado como Cavern Manticore, o grupo APT tem como foco entidades governamentais e provedores de TI, e parece estar ligado ao MOIS (Ministério da Inteligência e Segurança) do Irã, com possíveis conexões ao subgrupo OilRig chamado Lyceum (também conhecido como Hexane e SiameseKitten).
A estrutura de C&C do Cavern Manticore inclui um conjunto de ferramentas adaptáveis construído com .NET, com diversos formatos de compilação usados entre os componentes, servindo como uma camada anti-análise.
"Não se trata de ofuscação no sentido tradicional; não há empacotador, não há nivelamento de fluxo de controle e não há criptografia de strings em nenhum lugar da estrutura. Em vez disso, o próprio formato de compilação se torna a camada anti-análise, já que cada um dos três formatos precisa ser revertido com um conjunto de ferramentas e um fluxo de trabalho diferentes, e o analista precisa alternar o contexto entre eles conforme os componentes", observa a Check Point.
Os componentes são usados como agentes e módulos, separando a funcionalidade principal de comunicação das capacidades pós-comprometimento e permitindo que os atacantes adaptem as implantações por vítima e ampliem seu acesso aos ambientes comprometidos.
A cadeia de infecção começa com o abuso do recurso de atualização de software do SysAid para fazer sideload de uma DLL (biblioteca de vínculo dinâmico) do WinDirStat, o que leva à execução do agente Cavern.
Após estabelecer a comunicação de comando e controle (C&C), o agente busca módulos adicionais com base nos comandos recebidos do operador.
Módulos dedicados dão suporte a operações de arquivos, enumeração e manipulação de bancos de dados, força bruta contra LDAP (protocolo leve de acesso a diretórios), reconhecimento de rede e força bruta contra SMB (Server Message Block, bloco de mensagens do servidor), além de proxy SOCKS5 e tunelamento WebSocket/WSS (WebSocket Seguro). O agente utiliza módulos gerenciados e nativos.
O agente isola cada módulo em seu próprio AppDomain (domínio de aplicação), que é encerrado após o módulo ser descarregado, removendo-os da memória para eliminar artefatos de assembly analisáveis. Além disso, o agente exclui todos os arquivos e subdiretórios no diretório de trabalho, exceto o módulo de comunicação, o arquivo de configuração e os arquivos de log.
Segundo a Check Point, a estrutura Cavern provavelmente foi construída com o auxílio de um modelo de IA, mas comentários de código, erros de digitação, além de nomes escolhidos manualmente e várias inconsistências entre os módulos, sugerem que um humano esteve significativa e substancialmente envolvido no processo de desenvolvimento.
Como parte das intrusões observadas contra alvos israelenses, o grupo APT utilizou soluções de monitoramento e gerenciamento remoto (RMM) para movimento lateral entre as vítimas. Também usou tecnologias de área de trabalho remota baseadas em navegador para acessar os ambientes das vítimas e recursos integrados, como impressão remota, para exfiltração de dados.
"Campanhas recentes sugerem que o agente de ameaça possui um forte entendimento das complexas cadeias de fornecedores de TI dentro do ecossistema cibernético de Israel. Em vários casos, observamos evidências de o agente se mover de um provedor de TI inicialmente comprometido para um segundo provedor antes de finalmente alcançar a organização-alvo pretendida", observa a Check Point.