Cavern Manticoreの新型モジュール式フレームワークが判明

イランのハッカー集団が、広く普及しているシステム管理ツールを悪用し、高度なセキュリティ対策が施されたネットワークへ密かに侵入する経路に変えていることが分かりました。Cavern Manticoreとして知られる脅威アクターは、「Cavern」と呼ばれる新型のモジュール式フレームワークを駆使しています。同グループはイスラエルの政府機関や大手IT企業を標的に、巧妙なサイバー攻撃を展開しています。Check Pointのセキュリティ専門家が明らかにしたところによるものです。一部のケースでは、この悪意ある攻撃者らはまずITサービスプロバイダーを組織的に侵害していました。彼らはこの侵害済みインフラを踏み台として利用し、より重要で価値の高い標的への到達を図っていました。

Cavern Manticoreという脅威の台頭

Cavern Manticoreの秘密裏の活動は、2026年初頭から綿密に監視されてきました。インテリジェンスアナリストらは、この強大な集団をイラン情報保安省(MOIS)に帰属すると分析しています。さらに、その暗号技術の武器庫は、MuddyWaterやLyceumが過去に展開したツールと明確なアーキテクチャ上の類似点を共有しています。ネットワークへの初期侵入を達成するため、ハッカーらは既存のリモート管理ソフトウェアを巧みに悪用しました。そのため、彼らの悪質な侵入行為は日常的な管理業務のメンテナンスとして完璧に偽装されていました。

洗練されたモジュール式アーキテクチャ

境界防御の突破に成功すると、攻撃者らはCavernフレームワークを展開しました。この高度なプラットフォームは、主要な指令エージェントと、多様なモジュール群で構成されています。オペレーターは、悪意あるキャンペーンの具体的な目的に応じて、これらのコンポーネントを動的に読み込みます。その結果、このモジュール型の仕組みにより、内部ネットワークをシームレスに偵察することが可能になります。攻撃者は機密ファイルを操作し、ドメインユーザーを列挙し、侵害済みの認証情報を検証し、暗号化された永続的トンネルを構築することができます。

難読化と検知回避の巧妙な技術

Cavernの開発者らは、高度な難読化技術に細心の注意を払っていました。彼らはこのプラットフォームがリバースエンジニアリングを著しく困難にするよう設計しています。.NETで実装されているにもかかわらず、各コンポーネントは3種類の全く異なる形式に丹念にコンパイルされています。そのため、セキュリティ研究者は各亜種を解析するために、それぞれ異なる分析ツールを用いる必要があります。

さらに、一部のモジュールは重要な文字列やシステム関数を実行の瞬間まで意図的に隠蔽しています。この極めて高度な複雑化により、自動化されたファイル検査がほぼ不可能になっています。案の定、発見された検体の大多数は、従来型のアンチウイルス検知システムでは事実上検出不能でした。

メモリ内実行と多彩なツール群

モジュール実行を統制する巧妙な手法は、防御をさらに強固にするもう一つの重要な層となっています。Cavernは各コンポーネントを完全に隔離されたメモリ領域に丹念に注入します。指定されたタスクを実行した後、システムからコードを完全に消去します。タスク完了後、この一時的な手法により、サイバーセキュリティ専門家が分析できる痕跡はごくわずかしか残りません。さらに、このプラットフォームは内部コンポーネントを自律的に更新することも可能です。新しいセッションを開始する前に、以前読み込んだモジュールを安全に消去します。

アナリストらは、さまざまな破壊的タスク向けに設計された特定のモジュールを発見しています。これにはファイル管理、データベースへの照会、Active Directoryのマッピング、そして秘匿型プロキシトンネルの確立が含まれます。特に悪質な一つのコンポーネントは、厳重に保護されたユーザーデータを復号する能力を備えています。別のモジュールは、制限されたネットワークリソースへの不正アクセスのため、認証情報のペアを組織的に検証します。その結果、オペレーターは被害者ごとに個別のツールキットを丹念に構築できます。これにより、たとえ防御側が1台の感染ワークステーションを押収したとしても、プラットフォームの全容は隠されたままとなります。

Cavernの進化の軌跡

包括的なコード解析はさらに、Cavernが段階的かつ反復的な開発サイクルを経て進化してきたことを示しています。当初「Cav3rn」と呼ばれていた初期バージョンは、扱いにくい一枚岩型のソフトウェアアーキテクチャとして存在していました。時間の経過とともに、開発者らはその機能を賢明にも複数のモジュールへと分散させていきました。彼らは指令・制御(C2)サーバーとの通信に新たなプロトコルを組み込み、各コンポーネントの解析を飛躍的に困難にしました。

Check Pointは、Cavern Manticoreをイラン国家に明確に紐付けています。同社は、技術的指標の集約、共有インフラ、そして際立った運用上の類似性に基づいてこの帰属判断を下しています。この集団は主に、イスラエルの政府機関と広範なIT業界を標的としています。複数の記録された事例では、侵害されたサービスプロバイダーは単なる使い捨ての中継地点として利用されたに過ぎませんでした。

この大規模なキャンペーンは、ぞっとするような新たな現実を明白に示しています。信頼されたリモート管理ツールは今や、密かで壊滅的なサイバー攻撃のための格好の経路になりつつあります。Cavern Manticoreは、ITサービスプロバイダーに付与された正当なアクセス権を巧みに悪用しています。彼らは組織間をシームレスに渡り歩き、悪意ある行為を日常的な管理業務として完璧に偽装しています。最後に、Cavernの洗練されたアーキテクチャは、進行中の攻撃の迅速な検知をさらに著しく妨げます。ハッカーらはツールセットを即座に切り替えることができます。この機敏さにより、彼らは中核プラットフォームを温存しつつ、感染したインフラへの継続的なアクセスを確保しています。

翻訳元: https://meterpreter.org/cavern-manticore-modular-framework/

ソース: meterpreter.org