
İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı.
Saldırı Nasıl Gerçekleşiyor?
- Güven Zincirini Kırmak: Hackerlar doğrudan hedefe saldırmak yerine, önce hedefin hizmet aldığı BT (Bilişim) şirketlerini ele geçiriyor. Buradan asıl hedefin sistemine zıplıyorlar.
- Yazılım Güncellemesi Oyunu: Şirketlerin kullandığı yasal bir yazılım güncelleme özelliğini istismar ederek sisteme sızıyorlar ve virüslü dosyaları (
uxtheme.dll) yüklüyorlar. - Analizden Kaçma: Bu siber silah, güvenlik uzmanları fark etmesin diye farklı yazılım dillerini ( .NET Framework ve Native AOT) harmanlayarak kendini gizliyor.
İran Bağlantılı Tehdit Aktörlerinden İsrail’e “Cavern” Operasyonu
İran bağlantılı olduğu değerlendirilen bir tehdit grubunun (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji şirketlerini hedef almak amacıyla “Cavern” adı verilen yeni bir zararlı yazılım çerçevesi kullandığı bildirildi.
Saldırı Nasıl Gerçekleşiyor?
Güven Zincirinin Kırılması
Tehdit aktörleri, doğrudan hedef kuruluşlara saldırmak yerine öncelikle hedeflerin hizmet aldığı BT (Bilişim Teknolojileri) şirketlerini ele geçirerek bu kuruluşlar üzerinden asıl hedefin sistemlerine erişim sağlamaya çalışıyor.
Yazılım Güncelleme Mekanizmasının İstismarı
Araştırmalara göre saldırganlar, kuruluşların kullandığı meşru yazılım güncelleme özelliklerini istismar ederek sistemlere sızıyor ve kötü amaçlı DLL dosyaları (uxtheme.dll) yüklüyor.
Analizden Kaçınma Teknikleri
Cavern’in, güvenlik analizlerini zorlaştırmak amacıyla farklı geliştirme teknolojilerini (.NET Framework ve Native AOT) bir arada kullandığı belirtiliyor.
Zararlı Yazılım Sistemde Neler Yapabiliyor?
Sisteme erişim sağlandıktan sonra ihtiyaçlara göre farklı işlevlere sahip modüller indirilebiliyor:
- Dosya Toplama ve Aktarma: Dosyaları arayabiliyor, sıkıştırabiliyor ve dış sistemlere aktarabiliyor.
- Veritabanı Erişimi: SQL veritabanlarındaki verilere erişebiliyor ve belirli işlemler gerçekleştirebiliyor.
- Sistem Keşfi: Ağdaki kullanıcıları ve ayrıcalıklı hesapları tespit edebiliyor.
- Ağ Taraması: Ağ üzerindeki diğer sistemleri ve açık portları belirleyebiliyor.
- Tünelleme: Uzaktan erişim ve iletişim amacıyla gizli bağlantı kanalları oluşturabiliyor.
Dikkat Çeken Bir Teknik
Araştırmacılar, tehdit aktörlerinin bazı kuruluşlarda veri aktarım kısıtlamalarını aşmak amacıyla uzak masaüstü bağlantılarındaki yazdırma özelliklerini kötüye kullanarak veri dışa aktarımı gerçekleştirmiş olabileceğini değerlendiriyor.
Büyük Resim
Araştırmalara göre aynı grup, yakın dönemde internete açık 12 binden fazla sistemdeki güvenlik açıklarını (SmarterMail, n8n, Laravel ve benzeri platformlar) taradı. Bu faaliyetlerin; İsrail, Mısır ve Birleşik Arap Emirlikleri’ndeki havacılık, enerji ve kamu sektörlerini hedef alan siber casusluk ve veri toplama operasyonlarıyla ilişkilendirildiği bildiriliyor.




