สรุปสั้น
กลุ่มแฮ็กเกอร์อิหร่านที่มีความเชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) ได้ใช้เฟรมเวิร์กสั่งการและควบคุม (command-and-control หรือ C2 — ระบบที่ผู้โจมตีใช้สั่งงานมัลแวร์ในเครื่องเหยื่อจากระยะไกล) แบบโมดูลาร์ตัวใหม่ที่ยังไม่เคยมีการบันทึกไว้ก่อน ชื่อว่า Cavern (หรือ Cav3rn) เพื่อโจมตีองค์กรในอิสราเอล กิจกรรมนี้มุ่งเป้าไปที่ผู้ให้บริการไอทีและภาครัฐเป็นหลัก และถูกเชื่อมโยงกับกลุ่มภัยคุกคามที่บริษัท Check Point Research ติดตามภายใต้ชื่อ Cavern Manticore ซึ่งมีความทับซ้อนทางยุทธวิธีบางส่วนกับกลุ่ม MuddyWater และ Lyceum โดยกลุ่มหลังนี้ถูกประเมินว่าเป็นกลุ่มย่อยภายใน OilRig อีกที
Check Point ระบุว่าเฟรมเวิร์กนี้สะท้อนชุดเครื่องมือที่พัฒนามาอย่างสมบูรณ์และปรับตัวได้ดี สร้างขึ้นบนรากฐาน .NET ร่วมกัน แต่ใช้รูปแบบการคอมไพล์หลายชนิดข้ามองค์ประกอบต่าง ๆ รวมถึง .NET Framework, .NET Mixed-Mode C++/CLI และ .NET Native AOT จุดที่แยบยลคือรูปแบบการคอมไพล์เองกลายเป็นชั้นป้องกันการวิเคราะห์ที่บังคับให้นักวิศวกรรมย้อนกลับ (reverse engineer) ต้องใช้เครื่องมือหลายชุดและกระบวนการสร้างเมทาดาทาขึ้นมาใหม่ องค์ประกอบของเฟรมเวิร์กแบ่งเป็น Cavern Agent และ Cavern modules ซึ่งแบ่งหน้าที่ชัดเจนระหว่างความสามารถสื่อสารหลักกับฟังก์ชันหลังการเจาะระบบเฉพาะภารกิจ ทำให้ผู้ปฏิบัติการปรับแต่งการติดตั้งตามโปรไฟล์ของเหยื่อได้ ลดร่องรอยทางนิติวิทยาศาสตร์ และคงการเข้าถึงแบบถาวรผ่านโมดูลเฉพาะทาง
รายละเอียดข่าว
เว็บไซต์ The Hacker News (THN) รายงานเมื่อวันที่ 7 กรกฎาคม พ.ศ. 2569 ว่า บริษัท Check Point Research ได้เปิดเผยการโจมตีของกลุ่ม Cavern Manticore ซึ่งอาศัยฟีเจอร์อัปเดตซอฟต์แวร์ของ SysAid เป็นจุดเริ่มต้น โดยผู้โจมตีใช้ฟีเจอร์นี้เริ่มต้นห่วงโซ่การ side-loading DLL (การหลอกให้โปรแกรมที่ถูกต้องโหลดไฟล์ DLL ที่เป็นอันตราย) ซึ่งนำไปสู่การรัน DLL ที่ถูกฝังโทรจัน (“uxtheme.dll”) ที่บรรจุ Cavern Agent ไว้ ตัวเอเจนต์นี้จะโหลดโมดูลสื่อสารแยกต่างหาก (“n-HTCommp.dll”) เพื่อติดต่อเซิร์ฟเวอร์ C2 (“hospitalinstallation[.]com”) และดึงโมดูลหลังการเจาะระบบเพิ่มเติมมาแบบทันที ผ่านช่องทาง HTTPS หรือ WebSocket
Check Point พบโมดูล DLL มากถึง 5 ตัว ได้แก่ mhm.dll สำหรับปฏิบัติการกับไฟล์ การแจกแจง การค้นหาไฟล์แบบเรียกซ้ำ การจัดการไฟล์บีบอัด และการโอนไฟล์สองทาง, db.dll สำหรับการแจกแจงฐานข้อมูล SQL การสอบถาม การส่งออก และการแก้ไขข้อมูล, ode.dll สำหรับการสอดแนม Active Directory การแจกแจงผู้ใช้และกลุ่ม และการเดารหัส LDAP แบบ brute-force, n-ten.dll สำหรับการสอดแนมเครือข่าย การสแกนพอร์ต การแจกแจงแชร์ และการเดารหัส SMB แบบ brute-force และ n-sws.dll สำหรับพร็อกซี SOCKS5 และการทำ tunnel ผ่าน WebSocket
การโจมตีของ Cavern Manticore มีลักษณะเคลื่อนจากผู้ให้บริการไอทีที่ถูกเจาะในตอนแรก ไปยังผู้ให้บริการชั้นที่สอง ก่อนจะไปถึงองค์กรเป้าหมายที่ตั้งใจไว้ในที่สุด บ่งชี้ถึงความสามารถในการใช้ความสัมพันธ์ที่ไว้วางใจกันในห่วงโซ่อุปทานซอฟต์แวร์ให้เป็นประโยชน์ Check Point ตั้งข้อสังเกตว่าการโจมตีนี้เน้นย้ำคุณค่าเชิงปฏิบัติการของความสัมพันธ์กับผู้ให้บริการที่เชื่อถือได้ โดยเฉพาะที่มีการใช้เครื่องมือ Remote Monitoring and Management (RMM) ซึ่งผู้โจมตีสามารถฉวยใช้เพื่อเคลื่อนที่ในแนวขวางระหว่างเหยื่อและส่งมัลแวร์ที่ปลอมเป็นการอัปเดตที่ถูกต้อง
วิธีการโจมตี
ลักษณะเด่นของเฟรมเวิร์ก Cavern คือการใช้เป้าหมายการคอมไพล์ .NET ที่ต่างกันถึงสามชนิดข้ามองค์ประกอบต่าง ๆ กล่าวคือ mhm.dll, db.dll และ ode.dll เป็นโมดูล .NET Framework ล้วน ในขณะที่ n-HTCommp.dll, n-ten.dll และ n-sws.dll ใช้การคอมไพล์แบบ Native AOT (Ahead-of-Time) ส่วนตัวเอเจนต์หลัก uxtheme.dll ผสมผสานโค้ด .NET แบบ managed เข้ากับ C++ แบบ native ไว้ในไฟล์ปฏิบัติการเดียว ภายในเอเจนต์ฝังตัวส่งงานโมดูล (dispatcher) ที่รวมเป็นหนึ่งเดียว ซึ่งจะจัดการองค์ประกอบที่ชื่อขึ้นต้นด้วย n- ให้เป็น DLL แบบ native และโหลดผ่าน Windows API ชื่อ LoadLibraryA ส่วนที่เหลือจะถูกตีความเป็น managed .NET assembly และโหลดผ่านกลไก AppDomain isolation
Check Point อธิบายว่า ท่าทีต่อต้านการวิเคราะห์ของเฟรมเวิร์กอาศัยรูปแบบการคอมไพล์ .NET ที่ไม่ค่อยพบเห็น (Mixed-Mode C++/CLI และ Native AOT) ที่บังคับให้นักวิศวกรรมย้อนกลับต้องใช้เครื่องมือหลายชุดและกระบวนการสร้างเมทาดาทาขึ้นใหม่ ประกอบกับการแยก AppDomain ต่อโมดูลเพื่อเป็นมาตรการต่อต้านนิติวิทยาศาสตร์ นอกจากนี้ผู้โจมตียังใช้เทคโนโลยีรีโมตเดสก์ท็อปผ่านเบราว์เซอร์เพื่อเข้าถึงเป้าหมาย และในบางกรณีฉวยใช้ฟีเจอร์ในตัวอย่างการพิมพ์ระยะไกล (remote printing) เพื่อขโมยข้อมูลออกไปเมื่อความสามารถคัดลอก-วางผ่านคลิปบอร์ดหรือการโอนไฟล์ถูกจำกัด
พัฒนาการนี้เกิดขึ้นท่ามกลางปฏิบัติการทางทหารร่วมที่อิสราเอลและสหรัฐฯ เปิดต่ออิหร่าน ในช่วงหลายเดือนที่ผ่านมากลุ่ม MuddyWater ยังถูกพบว่าทำการสอดแนมในวงกว้างครอบคลุมระบบที่เปิดสู่อินเทอร์เน็ตกว่า 12,000 ระบบ ด้วยการเจาะช่องโหว่ที่รู้จักแล้วในระบบ SmarterMail, n8n, N-central, Langflow และ Laravel Livewire โดยบริษัท Oasis Security ระบุว่าปฏิบัติการนี้ได้พัฒนาจากการสอดแนมไปสู่การเก็บเกี่ยวข้อมูลรับรองแบบเจาะจงและการขโมยข้อมูลจากภาคการบิน พลังงาน และภาครัฐในตะวันออกกลาง รวมถึงอียิปต์ อิสราเอล และสหรัฐอาหรับเอมิเรตส์
ผลกระทบต่อไทย
แม้เป้าหมายหลักของ Cavern Manticore จะอยู่ในอิสราเอลและตะวันออกกลาง แต่เทคนิคที่กลุ่มนี้ใช้เป็นบทเรียนโดยตรงสำหรับองค์กรไทย โดยเฉพาะการโจมตีผ่านห่วงโซ่อุปทานด้วยการเจาะผู้ให้บริการไอที (MSP) และเครื่องมือ RMM เพื่อกระโดดเข้าหาลูกค้าปลายทาง องค์กรไทยจำนวนมากพึ่งพา MSP และซอฟต์แวร์บริหารจัดการระยะไกลในการดูแลระบบ หากผู้ให้บริการเหล่านี้ถูกเจาะ มัลแวร์ก็อาจถูกส่งมาในคราบของการอัปเดตที่ดูน่าเชื่อถือ นอกจากนี้ช่องโหว่ที่ MuddyWater ใช้สอดแนม (SmarterMail, n8n, Langflow, Laravel Livewire ฯลฯ) ล้วนเป็นซอฟต์แวร์ที่มีใช้งานในไทย องค์กรจึงควรถือว่าระบบที่เปิดสู่อินเทอร์เน็ตและยังไม่แพตช์เป็นจุดเสี่ยงที่กลุ่มระดับรัฐอาจสแกนเจอและใช้เป็นทางเข้า
คำแนะนำ
องค์กรควรทบทวนความสัมพันธ์และสิทธิ์การเข้าถึงของผู้ให้บริการไอทีและเครื่องมือ RMM อย่างเข้มงวด จำกัดสิทธิ์ให้น้อยที่สุดเท่าที่จำเป็น และเฝ้าติดตามการอัปเดตซอฟต์แวร์จากผู้ให้บริการภายนอกอย่างใกล้ชิด โดยเฉพาะซอฟต์แวร์อย่าง SysAid ที่มีฟีเจอร์อัปเดตอัตโนมัติ ควรตรวจหาพฤติกรรม DLL side-loading ที่ผิดปกติ เช่น กระบวนการที่ถูกต้องโหลด DLL จากตำแหน่งแปลกปลอม และเฝ้าระวังการเชื่อมต่อออกไปยังโดเมน C2 ที่พบในรายงาน รวมถึงรีบอัปเดตแพตช์ให้ระบบที่เปิดสู่อินเทอร์เน็ต (SmarterMail, n8n, N-central, Langflow, Laravel Livewire) ที่กลุ่มในเครืออิหร่านกำลังสแกนหาช่องโหว่ พร้อมทั้งบังคับใช้การยืนยันตัวตนหลายชั้นและตรวจจับการเดารหัสแบบ brute-force บน OWA และบริการที่เปิดสู่ภายนอก
Indicators of Compromise (IoCs)
หมายเหตุ: อินดิเคเตอร์ประเภทโดเมนถูก defang (ใส่วงเล็บที่จุด) เพื่อความปลอดภัย — คัดจากภาคผนวก IOCs ของรายงาน Check Point Research
โดเมนและเครือข่าย (Network indicators)
| Indicator | ประเภท | รายละเอียด |
|---|---|---|
| hospitalinstallation[.]com | Domain (parent) | โดเมนรากของแคมเปญ — WHOIS พบว่าจดทะเบียนผ่าน Fars Data ผู้ให้บริการโฮสต์สัญชาติอิหร่าน |
| auth[.]hospitalinstallation[.]com | Domain (C2) | C2 ของเอเจนต์รุ่นเก่า |
| google[.]com[.]hospitalinstallation[.]com | Domain (C2) | C2 ของเอเจนต์รุ่นใหม่ |
| adserviceupdate[.]com | Domain (C2) | C2 ที่ HTTP module รุ่นเก่า (Cav3rn) เรียกใช้ — https://adserviceupdate[.]com/cac.aspx |
| hygienehistory[.]com | Domain (C2) | C2 ที่ HTTP module รุ่นเก่า (Cav3rn) เรียกใช้ — https://hygienehistory[.]com/cac.aspx |
| cac.aspx | Webshell (ASP.NET handler) | CAV3RN_Http_Module — handler สไตล์เว็บเชลล์บนเซิร์ฟเวอร์ IIS ใช้เป็นปลายทาง C2 |
ค่าแฮชไฟล์ (SHA-256)
| SHA-256 | องค์ประกอบ | ไฟล์ |
|---|---|---|
| 37e123bd7998af4eae32718ce254776f36365a80ba56952593dab46f536d4066 | Cavern Agent (build 02) | uxtheme.dll |
| 92cae0ad7f98f51a14bcc0ee05e372ebdc29ea96ea7bd161bd3f55198767603b | Cavern Agent (build 04) | uxtheme.dll |
| 5dc08bda6919a57a85e5f38b857985fa71529ca39c8299868d5a49a987e19b18 | Cavern Agent (รุ่นเก่าสุด) | uxtheme.dll |
| a4aa217def4c38f4ecacdf47b1cd687f60cc74c18ab75195be3c4357a790bf41 | โมดูลสื่อสาร | n-HTCommp.dll |
| b630c96d3763182533d4fb9b614134382bd644cb02c6c1c3ade848b6ecc31e86 | โมดูลสื่อสาร | n-HTCommp.dll |
| 8e9425c0b46eeb516610ae913d13f2b3f44a023043cb099277031d4ec38a6134 | โมดูลจัดการไฟล์ | mhm.dll |
| 0a3663648a46771a5a5423ad01e91a4e7ba825595e99fa934cb35cbb4848adc8 | โมดูลจัดการไฟล์ (variant “Cav3rn” รุ่นเก่า) | mhm.dll |
| 5394d3b220de4695f731647e3a70545f951a8912ceb0c6585efab8d6842e8b42 | โมดูลเปิดฐานข้อมูล SQL | db.dll |
| 30cb4679c4b8599eeb3d63a551716475c6332bdc4d4b4e3de0964aadb3092a10 | โมดูล LDAP / Active Directory | ode.dll |
| 2cb1ad3b22db8e3666ea138fee88034a87a87cf43db3d3265a675ebf221379b0 | โมดูลสอดแนมเครือข่าย | n-ten.dll |
| 7d586fb7f94182a8e2a0e53c7e4deb898066da029da5cd9972a94a59ca6d255a | โมดูล SOCKS5 / WebSocket tunnel | n-sws.dll |
| 541b1f417b9e42078c3355693a8a492b6a76048850f6549a429e0be99e6819cb | เอเจนต์รุ่นเก่า (บิลด์ non-modular) | Cav3rn |
| cbc9485db715e1b8cc384fe94b4cceadca4006cda8a5e28adc8848529cfafc93 | เอเจนต์รุ่นเก่า (บิลด์ non-modular) | Cav3rn |
| ccf218189c3aadb1c761da14bfda3bae686769031e1e1b10007648bd72e34748 | HTTP module รุ่นเก่า | CAV3RN_Http_Module |
TTPs และช่องโหว่ที่เกี่ยวข้อง
| Indicator | ประเภท | รายละเอียด |
|---|---|---|
| SysAid update feature | เทคนิค (Initial access) | ฉวยใช้ฟีเจอร์อัปเดตของ SysAid เพื่อวางไฟล์อันตราย + DLL side-loading |
| XOR + Base64 obfuscation | TTP | ปิดบังทราฟฟิก C2 ด้วย XOR ร่วมกับการเข้ารหัส Base64 และชุดคำสั่ง (verb) ตายตัวต่อ backdoor |
| Per-module AppDomain isolation | TTP (anti-forensics) | แยก AppDomain ต่อโมดูลเพื่อกันการกู้คืนความสามารถทั้งหมดจากโฮสต์ที่ถูกเจาะเพียงเครื่องเดียว |
| Victim-side C2 proxy | TTP | ใช้โครงสร้างพื้นฐานฝั่งเหยื่อเป็นตัวส่งต่อ (proxy) ทราฟฟิก C2 |
| CVE-2025-52691 | ช่องโหว่ | SmarterMail RCE (MuddyWater ใช้สอดแนม) |
| CVE-2025-68613 | ช่องโหว่ | n8n RCE |
| CVE-2025-9316 | ช่องโหว่ | N-Central unauthenticated sessionID generation |
| CVE-2025-34291 | ช่องโหว่ | Langflow RCE |
| CVE-2025-54068 | ช่องโหว่ | Laravel Livewire RCE |
หมายเหตุ: ตัวอย่างส่วนใหญ่ของเฟรมเวิร์กนี้มีอัตราการตรวจจับบน VirusTotal เป็นศูนย์หรือต่ำมาก
