Hack Alerta

Cavern Manticore abusa do SysAid RMM e WinDirStat para implantar framework C2

Grupo iraniano Cavern Manticore utiliza SysAid e WinDirStat para implantar malware modular via DLL sideloading, comprometendo provedores de TI em Israel com técnicas avançadas de evasão.

Um novo grupo de hackers vinculado ao Irã, identificado como Cavern Manticore, foi detectado utilizando ferramentas de TI cotidianas para infiltrar malware em redes israelenses. Pesquisadores da Check Point nomearam o grupo e sua campanha mais recente demonstra a criatividade dos atacantes ao se esconderem à vista de todos. Em vez de exploits chamativos, o grupo se apoia em software que as organizações já confiam. No centro desta campanha está uma técnica que transforma ferramentas úteis em um mecanismo de entrega para ferramentas de espionagem.

Descoberta e escopo da campanha

A campanha foi identificada por pesquisadores da Check Point após investigarem atividade incomum associada a provedores de serviços de TI em Israel. O grupo não parou em uma única empresa. Ele se moveu de um provedor de TI comprometido para uma segunda organização antes de atingir seu alvo real. A infraestrutura foi rastreada até um domínio registrado através de um provedor de hospedagem iraniano, adicionando peso à avaliação de que se trata de uma atividade ligada ao estado. Sobreposições com técnicas usadas por grupos como MuddyWater e Lyceum, ambos vinculados aos serviços de inteligência do Irã, reforçam essa conexão.

Vetor de ataque e exploração técnica

A infecção começa quando o Cavern Manticore abusa do recurso de atualização de software dentro do SysAid para entregar um pacote de arquivos vinculado ao WinDirStat, uma ferramenta legítima de uso de disco. Quando o programa real do WinDirStat é executado, ele carrega sem saber uma versão falsa de um arquivo do Windows chamado uxtheme.dll, que é na verdade o backdoor Cavern disfarçado. Uma vez ativo, este backdoor entra em contato com um arquivo separado que lida com o tráfego de rede, criptografando as comunicações para torná-las mais difíceis de detectar.

O malware utiliza três maneiras diferentes de compilar o mesmo código. Cada versão precisa de um conjunto de ferramentas diferente para análise, retardando os defensores tentando descobrir o que o malware faz. Isso torna o Cavern difícil de capturar. O malware também limpa após si mesmo, excluindo a maioria dos arquivos em sua pasta de trabalho, exceto o que precisa para continuar executando. Essa limpeza é uma etapa deliberada de anti-forense, destinada a frustrar qualquer pessoa tentando montar o que aconteceu depois dos fatos.

Arquitetura modular e capacidades

O malware, chamado Cavern, é um framework modular, o que significa que suas peças podem ser trocadas e inseridas dependendo do que os atacantes querem fazer. Algumas partes lidam com comunicação básica, enquanto outras são construídas para roubar arquivos, vasculhar bancos de dados ou escanear redes. Este design permite que o grupo personalize cada ataque sem reconstruir tudo. Cada módulo é executado em um espaço isolado e é removido da memória assim que termina, tornando mais difícil para os investigadores encontrarem evidências mais tarde.

Impacto e alcance

O Cavern Manticore parece focado em organizações israelenses, especialmente aquelas no governo e em serviços de TI. O interesse em provedores de TI não é acidental, já que essas empresas muitas vezes têm acesso confiável em outras empresas, tornando-as uma pedra de passo ideal para alvos mais difíceis. A segurança das equipes é instada a revisar logs e atividade de arquivos envolvendo uxtheme.dll, já que esse nome de arquivo é um alvo conhecido para abuso de sideloading de DLL.

Medidas de mitigação recomendadas

Limitar sessões remotas, restringir o acesso ao software RMM e observar a colocação incomum de DLLs pode ajudar a capturar essa atividade cedo. Como o malware se comporta de maneira diferente em diferentes builds, os defensores são encorajados a focar em padrões de comportamento e pistas de infraestrutura em vez de indicadores fixos. As organizações devem observar como suas ferramentas de gerenciamento remoto são usadas, já que os atacantes estão cada vez mais escondendo-se dentro de canais administrativos confiáveis em vez de entrar por pontos fracos óbvios.

Indicadores de comprometimento (IoCs)

Os indicadores de comprometimento incluem hashes SHA-256 para uxtheme.dll (build 02, build 04, build mais antigo), n-HTCommp.dll, mhm.dll, db.dll, ode.dll, n-ten.dll e n-sws.dll. Domínios de C2 incluem hospitalinstallation.com, auth.hospitalinstallation.com, google.com.hospitalinstallation.com, adserviceupdate.com e hygienehistory.com. Arquivos de configuração incluem config.txt, Cvn.cfg, Cvn.cfg.A e Cvn.cfg.U. Mutexes incluem MYMUTEX123HELLP, MYMUTEX123HELLP02 e MYMUTEX123HELLP04.

O que os CISOs devem fazer imediatamente

Esta campanha é um lembrete de que o software confiável pode se tornar uma arma quando os atacantes ficam criativos. A abordagem metódica do Cavern Manticore, desde a troca de cadeia de suprimentos até truques de evasão personalizados, mostra uma paciência que as organizações não podem ignorar. É crucial revisar os logs de atualização de software e monitorar a execução de DLLs em sistemas críticos. A implementação de soluções de detecção de comportamento, em vez de apenas assinaturas estáticas, é fundamental para identificar variações deste malware.

Implicações regulatórias e de governança

Embora o foco seja Israel, a natureza do ataque de cadeia de suprimentos via RMM tem implicações globais. Empresas que utilizam o SysAid devem verificar se há atualizações não autorizadas ou arquivos suspeitos em seus ambientes. A conformidade com padrões de segurança como NIST e ISO 27001 exige monitoramento contínuo de integridade de arquivos e controle de acesso privilegiado. A falha em detectar essa atividade pode levar a violações de dados que exigem notificação sob regulamentações como a LGPD no Brasil, caso dados de cidadãos brasileiros sejam afetados indiretamente.

Conclusão e recomendações finais

O Cavern Manticore representa uma evolução nas táticas de grupos de ameaças patrocinados por estados. A combinação de ferramentas legítimas com técnicas de ofuscação avançadas exige uma postura de segurança proativa. As equipes de SOC devem atualizar suas regras de detecção para incluir anomalias no uso de RMM e sideloading de DLL. A colaboração com a comunidade de inteligência de ameaças é essencial para antecipar movimentos futuros deste grupo.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.