İranlı Hacking Grubunun Yeni Tehditi: Cavern
İran’a bağlı bir hacking grubunun, daha önce belgelenmemiş bir modüler komut ve kontrol (C2) çerçevesi olan Cavern (Cav3rn) ile İsrailli kuruluşları hedef aldığı bildirilmektedir. Bu durum, siber güvenlik alanında kritik öneme sahip bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
İlk olarak, tehdit aktörlerinin işlevselliğini sağlamak için SysAid yazılım güncelleme özelliğini kötüye kullanarak bir DLL yan yükleme zinciri başlattığı görünmektedir. Bu süreçte, trojanize edilmiş bir DLL olan uxtheme.dll yüklenerek Cavern Ajansı çalıştırılmakta ve devamında n-HTCommp.dll adlı iletişim DLL modülü, C2 sunucusu olan hospitalinstallation[.]com ile iletişim kurmak için kullanılıyor.
Etkilenen Sistemler
Bu saldırılar, başta IT sağlayıcıları ve kamu sektörü olmak üzere çeşitli sistemleri hedef almaktadır. Aşağıda saldırı sırasında kullanılan DLL modülleri listelenmiştir:
- mhm.dll: Dosya işlemleri, enumerasyon, arşiv yönetimi ve iki yönlü dosya transferi için kullanılır.
- db.dll: SQL veritabanı enumerasyonu, sorgu, dışa aktarma ve manipülasyon için kullanılır.
- ode.dll: Active Directory keşfi, kullanıcı/grup enumerasyonu ve LDAP brute-force saldırıları için kullanılır.
- n-ten.dll: Ağ keşfi, port taraması ve SMB brute-force saldırıları için kullanılır.
- n-sws.dll: SOCKS5 proxy ve WebSocket tünelleme için kullanılır.
Çözüm ve Korunma
Cavern çerçevesinin mimarisi, etkileyici özelleştirme olanakları sunarak hedef profiline göre dağıtımlarda esneklik sağlamakta, adli izleme görünürlüğünü azaltmakta ve sürekli erişim sağlamakta. Çerçeve, Native AOT (Ahead-of-Time) gibi alışılmadık .NET derleme biçimlerini kullanarak analiz süreçlerini zorlaştırmaktadır.
Güvenlik uzmanlarının bu tip tehditlere karşı atması gereken bazı adımlar şunlardır:
- Güncellemeleri düzenli olarak kontrol etmek ve uygulamak.
- Güvenilir hizmet sağlayıcıları ile olan ilişkilerinizi gözden geçirmek.
- Kötü amaçlı yazılım tespiti için güvenlik yazılımlarını etkin bir şekilde kullanmak.
- Uzaktan erişim araçlarını ve ilgili özellikleri dikkatli kullanmak.
Olası bir saldırıya maruz kalmamak için, sistemlerinizi sürekli güncel tutmalı ve şüpheli aktiviteleri izlemenizde fayda vardır. Ayrıca, gerekli önlemleri almadan önce ilgili siber güvenlik uzmanlarıyla iletişime geçilmesi önem arz etmektedir.


