هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

هجمات Cavern الإيرانية تستهدف مؤسسات إسرائيلية

ملخص للمقال
  • هجمات Cavern الإيرانية تستهدف مؤسسات إسرائيلية عبر إطار هجوم سيبراني معياري جديد، مع تركيز واضح على الجهات الحكومية ومزودي خدمات تقنية المعلومات الحساسة
  • إطار Cavern أو Cav3rn يعمل كمنصة قيادة وتحكم هجومية مبنية على .NET، وتضم الاتصال بالخادم وجلب الأوامر وتشغيل وحدات إضافية بعد الاختراق
  • البنية التقنية في Cavern تعتمد على أكثر من صيغة تجميع، مع فصل الوكيل الرئيسي عن وحدات ما بعد الاختراق، ما يصعّب التحليل العكسي على الباحثين الأمنيين
  • بدأت هجمات Cavern الإيرانية عبر استغلال ميزة التحديث في SysAid، ثم تنفيذ DLL Side-Loading لملف uxtheme.dll المزور لتحميل Cavern Agent داخل النظام
  • بعد الاختراق يستخدم Cavern قنوات HTTPS أو WebSocket للتواصل مع خادم hospitalinstallation[.]com، ما يمنح المهاجمين مرونة كبيرة للبقاء داخل الشبكة وتنزيل وحدات متخصصة
  • مقارنةً بالبرمجيات الخبيثة التقليدية، يرفع Cavern مستوى التهديد على المؤسسات الإسرائيلية لأنه قابل للتخصيص حسب الضحية، ما يرجح تصاعد الهجمات الإيرانية المستقبلية
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
هجمات Cavern الإيرانية تستهدف مؤسسات إسرائيلية
محتوى المقال
جاري التحميل...
هجمات سيبرانية

إطار Cavern للهجوم السيبراني ظهر في حملة إيرانية استهدفت مؤسسات إسرائيلية، مع تركيز واضح على الجهات الحكومية ومزودي خدمات تقنية المعلومات.

ما هو إطار Cavern ولماذا يثير القلق؟

يشير الاسم Cavern أو Cav3rn إلى منصة قيادة وتحكم هجومية جديدة تعتمد على بنية معيارية، ما يمنح المهاجمين مرونة كبيرة في توسيع الهجمات بحسب طبيعة الهدف.

وبحسب ما رصدته تيكبامين، فإن هذا الإطار لا يعمل كأداة واحدة فقط، بل كحزمة مكونات تتوزع بين الاتصال بالخادم، وجلب الأوامر، وتشغيل وحدات إضافية بعد الاختراق.

ما الذي يميز البنية التقنية؟

  • اعتماد أساسي على بيئة .NET
  • استخدام أكثر من صيغة تجميع داخل المكونات
  • فصل واضح بين الوكيل الرئيسي ووحدات ما بعد الاختراق
  • مرونة في تخصيص الحمولة حسب نوع الضحية

هذا الأسلوب يجعل التحليل العكسي أكثر تعقيداً، لأن الباحث الأمني يواجه أكثر من نوع من الملفات والأدوات داخل الحملة نفسها، وليس برنامجاً خبيثاً تقليدياً واحداً.

كيف بدأت الهجمات على المؤسسات الإسرائيلية؟

سلسلة الهجوم بدأت عبر ميزة تحديث برمجية في SysAid، حيث استغل المهاجمون المسار لتشغيل ملف DLL مزور يقود في النهاية إلى تحميل الوكيل الرئيسي داخل النظام.

الملف الخبيث الذي حمل اسم uxtheme.dll لم يكن مجرد ملف تمويهي، بل احتوى على Cavern Agent القادر على فتح قناة اتصال مع خادم القيادة والتحكم ثم تنزيل وحدات إضافية عند الحاجة.

  • الهدف الأولي: الوصول إلى الجهاز دون إثارة الشكوك
  • طريقة التنفيذ: DLL Side-Loading
  • قناة الاتصال: HTTPS أو WebSocket
  • الخادم المستخدم: hospitalinstallation[.]com

ما قدرات Cavern بعد الاختراق؟

بعد تثبيت الوكيل، يمكن تحميل وحدات متخصصة لتنفيذ مهام متعددة، وهو ما يمنح المشغلين قدرة على البقاء داخل الشبكة لفترة أطول مع تقليل البصمة الجنائية الرقمية.

وتشمل هذه المهام الاستطلاع الداخلي، سرقة البيانات، إنشاء أنفاق اتصال، والتحرك الجانبي بين الأجهزة، وهي وظائف ترتبط عادة بالهجمات الموجهة ضد البنى الحساسة.

  • الاستطلاع وجمع المعلومات
  • سرقة الملفات والبيانات الحساسة
  • إنشاء قنوات Tunneling
  • الحركة الجانبية داخل الشبكات
  • الحفاظ على الوصول المستمر

كما أن بعض المكونات بُنيت باستخدام .NET Framework التقليدي، بينما استخدمت مكونات أخرى Native AOT، في حين جمع الوكيل الرئيسي بين كود .NET وكود ++C الأصلي داخل ملف واحد.

برمجية خبيثة

لماذا تعد هذه الحملة خطراً مهماً في الأمن الرقمي؟

الخطورة هنا لا تكمن فقط في الجهة المنسوبة إليها الحملة، بل في مستوى النضج داخل Cavern نفسه، إذ يبدو مصمماً لتجاوز التحليل وإطالة عمر الاختراق داخل الشبكات المستهدفة.

في النهاية، تكشف هذه العملية أن الهجمات الحديثة باتت تعتمد على أطر هجومية مرنة وقابلة للتوسع، وهو ما يجعل تحديث الأنظمة ومراقبة سلاسل التحميل الجانبي ضرورة ملحة. وتؤكد تيكبامين أن رصد Cavern مبكراً قد يكون الفارق بين حادث محدود واختراق واسع النطاق.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة


مقالات مقترحة

محتوى المقال
جاري التحميل...