Cavern Manticore атакует через RMM и .NET-модули
Иранская хакерская группировка Cavern Manticore систематически атакует израильские государственные и ИТ-структуры. За её операциями стоит сложный модульный фреймворк на базе .NET, архитектура которого удивительно напоминает инструментарий других проиранских акторов, связанных с MOIS, — MuddyWater и Lyceum. Новое исследование раскрывает механизмы, позволяющие группе оставаться незамеченной и поддерживать долговременный доступ к сетям жертв.
Архитектура фреймворка: агенты, модули и три бинарные маски
В основе операций Cavern Manticore лежит модульный фреймворк command and control (C2), состоящий из агентов и специализированных модулей. Каждый из них заточен под определённый этап пост-эксплуатации: разведку, манипуляции с файловой системой, просмотр баз данных, выполнение LDAP-запросов и туннелирование данных.
Ключевая особенность — использование трёх различных бинарных форматов для компонентов .NET, что серьёзно затрудняет статический анализ и реверс-инжиниринг:
- .NET Framework — классический формат;
- Смешанный режим C++/CLI — комбинация управляемого и неуправляемого кода;
- .NET Native AOT — предварительно скомпилированный нативный образ.
Такой стратегический разброс требует от исследователей применения разных инструментов и методологий для каждого модуля, значительно замедляя анализ.
Автономные модули и антикриминалистическая изоляция
Модули спроектированы для независимой работы и адаптируются под среду жертвы, одновременно снижая свою заметность для средств защиты. Благодаря механизму самовыполняемых команд каждый функциональный блок может быть бесшовно заменён или обновлён, что обеспечивает долговременную устойчивость импланта.
«Каждый функциональный модуль разработан для бесшовной замены или обновления через механизм самовыполняемых команд, позволяя злоумышленнику поддерживать постоянный доступ и наращивать функциональность со временем».
Особая роль отведена изоляции AppDomain: после выполнения модуль чисто выгружается из памяти, оставляя минимум артефактов для криминалистического расследования. Это усиливает антикриминалистические возможности вредоносного ПО и затрудняет атрибуцию.
Цепочка поставок и эксплуатация легитимных инструментов
Первоначальный доступ Cavern Manticore получает путём эксплуатации уже развёрнутого в сети жертвы программного обеспечения для удалённого мониторинга и управления (Remote Monitoring and Management, RMM). Такой вектор указывает на осознанное использование уязвимостей в цепочке поставок и доверенных отношениях между поставщиками ИТ-услуг и их клиентами.
Связь с C2-серверами маскируется продвинутыми техниками: трафик кодируется с помощью XOR и Base64, а специфические строки user-agent помогают обходить системы обнаружения. Сочетание этих методов позволяет группе имитировать легитимную активность и перемещаться по сети, опираясь на доверенные административные каналы.
Набор инструментов и оперативный темп
Модульная архитектура подчёркивает высокий оперативный темп и стратегический подход к выбору целей. Модули для разведки LDAP, сканирования сети и взаимодействия с базами данных образуют целостный интегрированный инструментарий, отвечающий сложным операционным требованиям. Способность актора продвигаться по цепочке доверенных ИТ-поставщиков подтверждает, что конечная цель — высокоценные активы, а не массовый сбор данных.
Выводы: за пределами статических индикаторов
Тактики Cavern Manticore доказывают: опора на статические индикаторы компрометации уже недостаточна. Организациям необходимо усиливать контроль над легитимными административными инструментами, особенно решениями RMM, чтобы перекрыть возможности для внутреннего перемещения и эксфильтрации данных. Фокус должен смещаться в сторону анализа поведенческих паттернов, аномальных манипуляций с инфраструктурой и эксплуатации административных каналов — только такой подход позволит противостоять всё более изощрённым киберугрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



