إطار Cavern للهجوم السيبراني ظهر في حملة إيرانية استهدفت مؤسسات إسرائيلية، مع تركيز واضح على الجهات الحكومية ومزودي خدمات تقنية المعلومات.
ما هو إطار Cavern ولماذا يثير القلق؟
يشير الاسم Cavern أو Cav3rn إلى منصة قيادة وتحكم هجومية جديدة تعتمد على بنية معيارية، ما يمنح المهاجمين مرونة كبيرة في توسيع الهجمات بحسب طبيعة الهدف.
وبحسب ما رصدته تيكبامين، فإن هذا الإطار لا يعمل كأداة واحدة فقط، بل كحزمة مكونات تتوزع بين الاتصال بالخادم، وجلب الأوامر، وتشغيل وحدات إضافية بعد الاختراق.
ما الذي يميز البنية التقنية؟
- اعتماد أساسي على بيئة .NET
- استخدام أكثر من صيغة تجميع داخل المكونات
- فصل واضح بين الوكيل الرئيسي ووحدات ما بعد الاختراق
- مرونة في تخصيص الحمولة حسب نوع الضحية
هذا الأسلوب يجعل التحليل العكسي أكثر تعقيداً، لأن الباحث الأمني يواجه أكثر من نوع من الملفات والأدوات داخل الحملة نفسها، وليس برنامجاً خبيثاً تقليدياً واحداً.
كيف بدأت الهجمات على المؤسسات الإسرائيلية؟
سلسلة الهجوم بدأت عبر ميزة تحديث برمجية في SysAid، حيث استغل المهاجمون المسار لتشغيل ملف DLL مزور يقود في النهاية إلى تحميل الوكيل الرئيسي داخل النظام.
الملف الخبيث الذي حمل اسم uxtheme.dll لم يكن مجرد ملف تمويهي، بل احتوى على Cavern Agent القادر على فتح قناة اتصال مع خادم القيادة والتحكم ثم تنزيل وحدات إضافية عند الحاجة.
- الهدف الأولي: الوصول إلى الجهاز دون إثارة الشكوك
- طريقة التنفيذ: DLL Side-Loading
- قناة الاتصال: HTTPS أو WebSocket
- الخادم المستخدم: hospitalinstallation[.]com
ما قدرات Cavern بعد الاختراق؟
بعد تثبيت الوكيل، يمكن تحميل وحدات متخصصة لتنفيذ مهام متعددة، وهو ما يمنح المشغلين قدرة على البقاء داخل الشبكة لفترة أطول مع تقليل البصمة الجنائية الرقمية.
وتشمل هذه المهام الاستطلاع الداخلي، سرقة البيانات، إنشاء أنفاق اتصال، والتحرك الجانبي بين الأجهزة، وهي وظائف ترتبط عادة بالهجمات الموجهة ضد البنى الحساسة.
- الاستطلاع وجمع المعلومات
- سرقة الملفات والبيانات الحساسة
- إنشاء قنوات Tunneling
- الحركة الجانبية داخل الشبكات
- الحفاظ على الوصول المستمر
كما أن بعض المكونات بُنيت باستخدام .NET Framework التقليدي، بينما استخدمت مكونات أخرى Native AOT، في حين جمع الوكيل الرئيسي بين كود .NET وكود ++C الأصلي داخل ملف واحد.
لماذا تعد هذه الحملة خطراً مهماً في الأمن الرقمي؟
الخطورة هنا لا تكمن فقط في الجهة المنسوبة إليها الحملة، بل في مستوى النضج داخل Cavern نفسه، إذ يبدو مصمماً لتجاوز التحليل وإطالة عمر الاختراق داخل الشبكات المستهدفة.
في النهاية، تكشف هذه العملية أن الهجمات الحديثة باتت تعتمد على أطر هجومية مرنة وقابلة للتوسع، وهو ما يجعل تحديث الأنظمة ومراقبة سلاسل التحميل الجانبي ضرورة ملحة. وتؤكد تيكبامين أن رصد Cavern مبكراً قد يكون الفارق بين حادث محدود واختراق واسع النطاق.