B
今週中
イランのインテリジェンス・セキュリティ省 (MOIS) に関連する攻撃グループ「Cavern Manticore」が、イスラエルの政府機関やITプロバイダーを標…
📌 一言でいうと
イランのインテリジェンス・セキュリティ省 (MOIS) に関連する攻撃グループ「Cavern Manticore」が、イスラエルの政府機関やITプロバイダーを標的とした新しいC2フレームワーク「Cavern」を使用していることが判明しました。このフレームワークは.NETベースのモジュール構造を持ち、解析を困難にするために複数のコンパイル形式を使い分けているのが特徴です。MuddyWaterやLyceumといった他のイラン系APTグループとの戦術的な重複が見られます。
🔍該当判定
- イスラエルの政府機関または組織と取引・連携がある
- イスラエル国内に拠点を持つITサービスプロバイダーである
- イスラエルに関連する政府・公共セクターの業務を請け負っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
未知のC2通信や不審な.NETバイナリの実行を監視し、エンドポイント検出および応答 (EDR) ツールを用いて異常なプロセス挙動を検知することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】イラン系APTグループによる新C2フレームワーク「Cavern」について
お疲れさまです。イランのMOISに関連する攻撃グループによる新たな脅威情報に関する共有です。
■ 概要
攻撃グループ「Cavern Manticore」が、イスラエルの政府・ITセクターを標的とした新C2フレームワーク「Cavern」を運用していることが報告されました。本ツールは.NET Framework, Mixed-Mode C++/CLI, Native AOTなど複数のコンパイル形式を使い分けることで、リバースエンジニアリングを困難にする高度なアンチ解析機能を備えています。
■ 影響範囲
- 主にイスラエルの政府機関およびITプロバイダー
- .NETベースのアプリケーションを実行する環境
■ 対応手順
1. EDR等のログを確認し、不審な.NETプロセスの起動や未知の外部ドメインへの通信がないか監視を強化してください。
2. 攻撃者がMuddyWaterやLyceumと戦術を共有している点に留意し、関連するIOCの更新を確認してください。
■ 参考情報
- Check Point Research レポート
対応優先度: 中
対応期限: 継続的な監視
お疲れさまです。イランのMOISに関連する攻撃グループによる新たな脅威情報に関する共有です。
■ 概要
攻撃グループ「Cavern Manticore」が、イスラエルの政府・ITセクターを標的とした新C2フレームワーク「Cavern」を運用していることが報告されました。本ツールは.NET Framework, Mixed-Mode C++/CLI, Native AOTなど複数のコンパイル形式を使い分けることで、リバースエンジニアリングを困難にする高度なアンチ解析機能を備えています。
■ 影響範囲
- 主にイスラエルの政府機関およびITプロバイダー
- .NETベースのアプリケーションを実行する環境
■ 対応手順
1. EDR等のログを確認し、不審な.NETプロセスの起動や未知の外部ドメインへの通信がないか監視を強化してください。
2. 攻撃者がMuddyWaterやLyceumと戦術を共有している点に留意し、関連するIOCの更新を確認してください。
■ 参考情報
- Check Point Research レポート
対応優先度: 中
対応期限: 継続的な監視
Subject: [Intel] New Iranian C2 Framework 'Cavern' Targeting Israeli Organizations
Dear Team,
We are sharing intelligence regarding a new C2 framework dubbed 'Cavern' used by the Iranian threat actor 'Cavern Manticore' (affiliated with MOIS).
■ Overview
The Cavern framework is a mature, modular .NET-based toolset. It specifically employs multiple compilation formats (including .NET Framework, Mixed-Mode C++/CLI, and Native AOT) to create an anti-analysis layer, forcing reverse engineers to use multiple toolsets for metadata reconstruction.
■ Scope
- Primary targets: Israeli government sectors and IT providers.
- Technical impact: Execution of modular .NET malware for C2 communication.
■ Recommended Actions
1. Enhance monitoring for unusual .NET process behaviors and unauthorized network connections to unknown C2 infrastructure.
2. Review tactical overlaps with MuddyWater and Lyceum to update detection signatures.
■ Reference
- Check Point Research
Priority: Medium
Deadline: Ongoing Monitoring
Dear Team,
We are sharing intelligence regarding a new C2 framework dubbed 'Cavern' used by the Iranian threat actor 'Cavern Manticore' (affiliated with MOIS).
■ Overview
The Cavern framework is a mature, modular .NET-based toolset. It specifically employs multiple compilation formats (including .NET Framework, Mixed-Mode C++/CLI, and Native AOT) to create an anti-analysis layer, forcing reverse engineers to use multiple toolsets for metadata reconstruction.
■ Scope
- Primary targets: Israeli government sectors and IT providers.
- Technical impact: Execution of modular .NET malware for C2 communication.
■ Recommended Actions
1. Enhance monitoring for unusual .NET process behaviors and unauthorized network connections to unknown C2 infrastructure.
2. Review tactical overlaps with MuddyWater and Lyceum to update detection signatures.
■ Reference
- Check Point Research
Priority: Medium
Deadline: Ongoing Monitoring