สรุปสั้น

กลุ่มแฮ็กเกอร์อิหร่านที่มีความเชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) ได้ใช้เฟรมเวิร์กสั่งการและควบคุม (command-and-control หรือ C2 — ระบบที่ผู้โจมตีใช้สั่งงานมัลแวร์ในเครื่องเหยื่อจากระยะไกล) แบบโมดูลาร์ตัวใหม่ที่ยังไม่เคยมีการบันทึกไว้ก่อน ชื่อว่า Cavern (หรือ Cav3rn) เพื่อโจมตีองค์กรในอิสราเอล กิจกรรมนี้มุ่งเป้าไปที่ผู้ให้บริการไอทีและภาครัฐเป็นหลัก และถูกเชื่อมโยงกับกลุ่มภัยคุกคามที่บริษัท Check Point Research ติดตามภายใต้ชื่อ Cavern Manticore ซึ่งมีความทับซ้อนทางยุทธวิธีบางส่วนกับกลุ่ม MuddyWater และ Lyceum โดยกลุ่มหลังนี้ถูกประเมินว่าเป็นกลุ่มย่อยภายใน OilRig อีกที

Check Point ระบุว่าเฟรมเวิร์กนี้สะท้อนชุดเครื่องมือที่พัฒนามาอย่างสมบูรณ์และปรับตัวได้ดี สร้างขึ้นบนรากฐาน .NET ร่วมกัน แต่ใช้รูปแบบการคอมไพล์หลายชนิดข้ามองค์ประกอบต่าง ๆ รวมถึง .NET Framework, .NET Mixed-Mode C++/CLI และ .NET Native AOT จุดที่แยบยลคือรูปแบบการคอมไพล์เองกลายเป็นชั้นป้องกันการวิเคราะห์ที่บังคับให้นักวิศวกรรมย้อนกลับ (reverse engineer) ต้องใช้เครื่องมือหลายชุดและกระบวนการสร้างเมทาดาทาขึ้นมาใหม่ องค์ประกอบของเฟรมเวิร์กแบ่งเป็น Cavern Agent และ Cavern modules ซึ่งแบ่งหน้าที่ชัดเจนระหว่างความสามารถสื่อสารหลักกับฟังก์ชันหลังการเจาะระบบเฉพาะภารกิจ ทำให้ผู้ปฏิบัติการปรับแต่งการติดตั้งตามโปรไฟล์ของเหยื่อได้ ลดร่องรอยทางนิติวิทยาศาสตร์ และคงการเข้าถึงแบบถาวรผ่านโมดูลเฉพาะทาง

รายละเอียดข่าว

เว็บไซต์ The Hacker News (THN) รายงานเมื่อวันที่ 7 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Check Point Research ได้เปิดเผยการโจมตีของกลุ่ม Cavern Manticore ซึ่งอาศัยฟีเจอร์อัปเดตซอฟต์แวร์ของ SysAid เป็นจุดเริ่มต้น โดยผู้โจมตีใช้ฟีเจอร์นี้เริ่มต้นห่วงโซ่การ side-loading DLL (การหลอกให้โปรแกรมที่ถูกต้องโหลดไฟล์ DLL ที่เป็นอันตราย) ซึ่งนำไปสู่การรัน DLL ที่ถูกฝังโทรจัน (“uxtheme.dll”) ที่บรรจุ Cavern Agent ไว้ ตัวเอเจนต์นี้จะโหลดโมดูลสื่อสารแยกต่างหาก (“n-HTCommp.dll”) เพื่อติดต่อเซิร์ฟเวอร์ C2 (“hospitalinstallation[.]com”) และดึงโมดูลหลังการเจาะระบบเพิ่มเติมมาแบบทันที ผ่านช่องทาง HTTPS หรือ WebSocket

Check Point พบโมดูล DLL มากถึง 5 ตัว ได้แก่ mhm.dll สำหรับปฏิบัติการกับไฟล์ การแจกแจง การค้นหาไฟล์แบบเรียกซ้ำ การจัดการไฟล์บีบอัด และการโอนไฟล์สองทาง, db.dll สำหรับการแจกแจงฐานข้อมูล SQL การสอบถาม การส่งออก และการแก้ไขข้อมูล, ode.dll สำหรับการสอดแนม Active Directory การแจกแจงผู้ใช้และกลุ่ม และการเดารหัส LDAP แบบ brute-force, n-ten.dll สำหรับการสอดแนมเครือข่าย การสแกนพอร์ต การแจกแจงแชร์ และการเดารหัส SMB แบบ brute-force และ n-sws.dll สำหรับพร็อกซี SOCKS5 และการทำ tunnel ผ่าน WebSocket

การโจมตีของ Cavern Manticore มีลักษณะเคลื่อนจากผู้ให้บริการไอทีที่ถูกเจาะในตอนแรก ไปยังผู้ให้บริการชั้นที่สอง ก่อนจะไปถึงองค์กรเป้าหมายที่ตั้งใจไว้ในที่สุด บ่งชี้ถึงความสามารถในการใช้ความสัมพันธ์ที่ไว้วางใจกันในห่วงโซ่อุปทานซอฟต์แวร์ให้เป็นประโยชน์ Check Point ตั้งข้อสังเกตว่าการโจมตีนี้เน้นย้ำคุณค่าเชิงปฏิบัติการของความสัมพันธ์กับผู้ให้บริการที่เชื่อถือได้ โดยเฉพาะที่มีการใช้เครื่องมือ Remote Monitoring and Management (RMM) ซึ่งผู้โจมตีสามารถฉวยใช้เพื่อเคลื่อนที่ในแนวขวางระหว่างเหยื่อและส่งมัลแวร์ที่ปลอมเป็นการอัปเดตที่ถูกต้อง

วิธีการโจมตี

ลักษณะเด่นของเฟรมเวิร์ก Cavern คือการใช้เป้าหมายการคอมไพล์ .NET ที่ต่างกันถึงสามชนิดข้ามองค์ประกอบต่าง ๆ กล่าวคือ mhm.dll, db.dll และ ode.dll เป็นโมดูล .NET Framework ล้วน ในขณะที่ n-HTCommp.dll, n-ten.dll และ n-sws.dll ใช้การคอมไพล์แบบ Native AOT (Ahead-of-Time) ส่วนตัวเอเจนต์หลัก uxtheme.dll ผสมผสานโค้ด .NET แบบ managed เข้ากับ C++ แบบ native ไว้ในไฟล์ปฏิบัติการเดียว ภายในเอเจนต์ฝังตัวส่งงานโมดูล (dispatcher) ที่รวมเป็นหนึ่งเดียว ซึ่งจะจัดการองค์ประกอบที่ชื่อขึ้นต้นด้วย n- ให้เป็น DLL แบบ native และโหลดผ่าน Windows API ชื่อ LoadLibraryA ส่วนที่เหลือจะถูกตีความเป็น managed .NET assembly และโหลดผ่านกลไก AppDomain isolation

Check Point อธิบายว่า ท่าทีต่อต้านการวิเคราะห์ของเฟรมเวิร์กอาศัยรูปแบบการคอมไพล์ .NET ที่ไม่ค่อยพบเห็น (Mixed-Mode C++/CLI และ Native AOT) ที่บังคับให้นักวิศวกรรมย้อนกลับต้องใช้เครื่องมือหลายชุดและกระบวนการสร้างเมทาดาทาขึ้นใหม่ ประกอบกับการแยก AppDomain ต่อโมดูลเพื่อเป็นมาตรการต่อต้านนิติวิทยาศาสตร์ นอกจากนี้ผู้โจมตียังใช้เทคโนโลยีรีโมตเดสก์ท็อปผ่านเบราว์เซอร์เพื่อเข้าถึงเป้าหมาย และในบางกรณีฉวยใช้ฟีเจอร์ในตัวอย่างการพิมพ์ระยะไกล (remote printing) เพื่อขโมยข้อมูลออกไปเมื่อความสามารถคัดลอก-วางผ่านคลิปบอร์ดหรือการโอนไฟล์ถูกจำกัด

พัฒนาการนี้เกิดขึ้นท่ามกลางปฏิบัติการทางทหารร่วมที่อิสราเอลและสหรัฐฯ เปิดต่ออิหร่าน ในช่วงหลายเดือนที่ผ่านมากลุ่ม MuddyWater ยังถูกพบว่าทำการสอดแนมในวงกว้างครอบคลุมระบบที่เปิดสู่อินเทอร์เน็ตกว่า 12,000 ระบบ ด้วยการเจาะช่องโหว่ที่รู้จักแล้วในระบบ SmarterMail, n8n, N-central, Langflow และ Laravel Livewire โดยบริษัท Oasis Security ระบุว่าปฏิบัติการนี้ได้พัฒนาจากการสอดแนมไปสู่การเก็บเกี่ยวข้อมูลรับรองแบบเจาะจงและการขโมยข้อมูลจากภาคการบิน พลังงาน และภาครัฐในตะวันออกกลาง รวมถึงอียิปต์ อิสราเอล และสหรัฐอาหรับเอมิเรตส์

ผลกระทบต่อไทย

แม้เป้าหมายหลักของ Cavern Manticore จะอยู่ในอิสราเอลและตะวันออกกลาง แต่เทคนิคที่กลุ่มนี้ใช้เป็นบทเรียนโดยตรงสำหรับองค์กรไทย โดยเฉพาะการโจมตีผ่านห่วงโซ่อุปทานด้วยการเจาะผู้ให้บริการไอที (MSP) และเครื่องมือ RMM เพื่อกระโดดเข้าหาลูกค้าปลายทาง องค์กรไทยจำนวนมากพึ่งพา MSP และซอฟต์แวร์บริหารจัดการระยะไกลในการดูแลระบบ หากผู้ให้บริการเหล่านี้ถูกเจาะ มัลแวร์ก็อาจถูกส่งมาในคราบของการอัปเดตที่ดูน่าเชื่อถือ นอกจากนี้ช่องโหว่ที่ MuddyWater ใช้สอดแนม (SmarterMail, n8n, Langflow, Laravel Livewire ฯลฯ) ล้วนเป็นซอฟต์แวร์ที่มีใช้งานในไทย องค์กรจึงควรถือว่าระบบที่เปิดสู่อินเทอร์เน็ตและยังไม่แพตช์เป็นจุดเสี่ยงที่กลุ่มระดับรัฐอาจสแกนเจอและใช้เป็นทางเข้า

คำแนะนำ

องค์กรควรทบทวนความสัมพันธ์และสิทธิ์การเข้าถึงของผู้ให้บริการไอทีและเครื่องมือ RMM อย่างเข้มงวด จำกัดสิทธิ์ให้น้อยที่สุดเท่าที่จำเป็น และเฝ้าติดตามการอัปเดตซอฟต์แวร์จากผู้ให้บริการภายนอกอย่างใกล้ชิด โดยเฉพาะซอฟต์แวร์อย่าง SysAid ที่มีฟีเจอร์อัปเดตอัตโนมัติ ควรตรวจหาพฤติกรรม DLL side-loading ที่ผิดปกติ เช่น กระบวนการที่ถูกต้องโหลด DLL จากตำแหน่งแปลกปลอม และเฝ้าระวังการเชื่อมต่อออกไปยังโดเมน C2 ที่พบในรายงาน รวมถึงรีบอัปเดตแพตช์ให้ระบบที่เปิดสู่อินเทอร์เน็ต (SmarterMail, n8n, N-central, Langflow, Laravel Livewire) ที่กลุ่มในเครืออิหร่านกำลังสแกนหาช่องโหว่ พร้อมทั้งบังคับใช้การยืนยันตัวตนหลายชั้นและตรวจจับการเดารหัสแบบ brute-force บน OWA และบริการที่เปิดสู่ภายนอก

Indicators of Compromise (IoCs)

หมายเหตุ: อินดิเคเตอร์ประเภทโดเมนถูก defang (ใส่วงเล็บที่จุด) เพื่อความปลอดภัย — คัดจากภาคผนวก IOCs ของรายงาน Check Point Research

โดเมนและเครือข่าย (Network indicators)

Indicatorประเภทรายละเอียด
hospitalinstallation[.]comDomain (parent)โดเมนรากของแคมเปญ — WHOIS พบว่าจดทะเบียนผ่าน Fars Data ผู้ให้บริการโฮสต์สัญชาติอิหร่าน
auth[.]hospitalinstallation[.]comDomain (C2)C2 ของเอเจนต์รุ่นเก่า
google[.]com[.]hospitalinstallation[.]comDomain (C2)C2 ของเอเจนต์รุ่นใหม่
adserviceupdate[.]comDomain (C2)C2 ที่ HTTP module รุ่นเก่า (Cav3rn) เรียกใช้ — https://adserviceupdate[.]com/cac.aspx
hygienehistory[.]comDomain (C2)C2 ที่ HTTP module รุ่นเก่า (Cav3rn) เรียกใช้ — https://hygienehistory[.]com/cac.aspx
cac.aspxWebshell (ASP.NET handler)CAV3RN_Http_Module — handler สไตล์เว็บเชลล์บนเซิร์ฟเวอร์ IIS ใช้เป็นปลายทาง C2

ค่าแฮชไฟล์ (SHA-256)

SHA-256องค์ประกอบไฟล์
37e123bd7998af4eae32718ce254776f36365a80ba56952593dab46f536d4066Cavern Agent (build 02)uxtheme.dll
92cae0ad7f98f51a14bcc0ee05e372ebdc29ea96ea7bd161bd3f55198767603bCavern Agent (build 04)uxtheme.dll
5dc08bda6919a57a85e5f38b857985fa71529ca39c8299868d5a49a987e19b18Cavern Agent (รุ่นเก่าสุด)uxtheme.dll
a4aa217def4c38f4ecacdf47b1cd687f60cc74c18ab75195be3c4357a790bf41โมดูลสื่อสารn-HTCommp.dll
b630c96d3763182533d4fb9b614134382bd644cb02c6c1c3ade848b6ecc31e86โมดูลสื่อสารn-HTCommp.dll
8e9425c0b46eeb516610ae913d13f2b3f44a023043cb099277031d4ec38a6134โมดูลจัดการไฟล์mhm.dll
0a3663648a46771a5a5423ad01e91a4e7ba825595e99fa934cb35cbb4848adc8โมดูลจัดการไฟล์ (variant “Cav3rn” รุ่นเก่า)mhm.dll
5394d3b220de4695f731647e3a70545f951a8912ceb0c6585efab8d6842e8b42โมดูลเปิดฐานข้อมูล SQLdb.dll
30cb4679c4b8599eeb3d63a551716475c6332bdc4d4b4e3de0964aadb3092a10โมดูล LDAP / Active Directoryode.dll
2cb1ad3b22db8e3666ea138fee88034a87a87cf43db3d3265a675ebf221379b0โมดูลสอดแนมเครือข่ายn-ten.dll
7d586fb7f94182a8e2a0e53c7e4deb898066da029da5cd9972a94a59ca6d255aโมดูล SOCKS5 / WebSocket tunneln-sws.dll
541b1f417b9e42078c3355693a8a492b6a76048850f6549a429e0be99e6819cbเอเจนต์รุ่นเก่า (บิลด์ non-modular)Cav3rn
cbc9485db715e1b8cc384fe94b4cceadca4006cda8a5e28adc8848529cfafc93เอเจนต์รุ่นเก่า (บิลด์ non-modular)Cav3rn
ccf218189c3aadb1c761da14bfda3bae686769031e1e1b10007648bd72e34748HTTP module รุ่นเก่าCAV3RN_Http_Module

TTPs และช่องโหว่ที่เกี่ยวข้อง

Indicatorประเภทรายละเอียด
SysAid update featureเทคนิค (Initial access)ฉวยใช้ฟีเจอร์อัปเดตของ SysAid เพื่อวางไฟล์อันตราย + DLL side-loading
XOR + Base64 obfuscationTTPปิดบังทราฟฟิก C2 ด้วย XOR ร่วมกับการเข้ารหัส Base64 และชุดคำสั่ง (verb) ตายตัวต่อ backdoor
Per-module AppDomain isolationTTP (anti-forensics)แยก AppDomain ต่อโมดูลเพื่อกันการกู้คืนความสามารถทั้งหมดจากโฮสต์ที่ถูกเจาะเพียงเครื่องเดียว
Victim-side C2 proxyTTPใช้โครงสร้างพื้นฐานฝั่งเหยื่อเป็นตัวส่งต่อ (proxy) ทราฟฟิก C2
CVE-2025-52691ช่องโหว่SmarterMail RCE (MuddyWater ใช้สอดแนม)
CVE-2025-68613ช่องโหว่n8n RCE
CVE-2025-9316ช่องโหว่N-Central unauthenticated sessionID generation
CVE-2025-34291ช่องโหว่Langflow RCE
CVE-2025-54068ช่องโหว่Laravel Livewire RCE

หมายเหตุ: ตัวอย่างส่วนใหญ่ของเฟรมเวิร์กนี้มีอัตราการตรวจจับบน VirusTotal เป็นศูนย์หรือต่ำมาก

แหล่งอ้างอิง