重磅APT预警|国家级模块化后门CavernManticore曝光!借RMM供应链渗透,传统杀毒完全失效

admin 2026-07-18 05:27:23 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 伊朗APT组织CavernManticore利用SysAid等RMM工具供应链投毒,部署模块化.NET后门框架,采用DLL侧加载、NativeAOT免杀、内存隔离销毁、伪装微软云C2等高级对抗技术,专攻政企和IT服务商,传统杀毒和EDR几乎无法检测。建议企业立即开展终端文件、网络流量、进程行为排查,并加固RMM运维管控。 综合评分: 90 文章分类: 威胁情报,漏洞预警,供应链安全,恶意软件,应急响应


cover_image

重磅APT预警|国家级模块化后门Cavern Manticore曝光!借RMM供应链渗透,传统杀毒完全失效

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年7月12日 12:00 广东

在小说阅读器读本章

去阅读

大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

导语

传统特征杀毒、基础EDR彻底失效!伊朗关联APT组织Cavern Manticore(隶属OilRig旗下Lyceum分支)推出全新模块化.NET后门框架,利用SysAid远程运维工具供应链做入侵入口,搭配三重编译混淆、内存隔离销毁、伪装微软云流量等顶级对抗技术,专攻政企、科技服务商,一旦沦陷可窃取数据库、AD域控、批量横向内网渗透,整套工具无通用特征,静态查杀几乎零检出,大量使用RMM运维工具的企业风险拉满!

一、攻击团伙与核心目标

  1. 团伙溯源

Cavern Manticore隶属于伊朗情报部关联APT团伙,和知名OilRig(APT34)、Lyceum组织战术高度重合,长期针对中东政企、信息技术服务商发起情报窃取、供应链连环入侵,攻击链路具备鲜明“跳板渗透”特征:先攻陷IT运维服务商,再利用服务商信任权限批量入侵下游客户。

  1. 重点受害行业

  2. 政府、公共事业机构(涉密文档、域控情报)

  3. IT外包、远程运维服务商(核心跳板目标)

  4. 金融、科研、通信企业(数据库、账号凭证)

  5. 制造业关键内网、研发服务器

  6. 核心攻击逻辑

不走Web漏洞爆破,专门信任链下手:滥用企业必备SysAid、Zoho等RMM远程管理工具更新通道投毒,依靠合法程序白名单绕过边界防护,落地多层免杀后门,全程内存执行、不留持久文件痕迹,传统安全设备很难捕捉异常。

二、完整入侵攻击全链路(一步一坑)

Step1:供应链投毒,借SysAid更新完成初始突破

攻击者篡改SysAid分发的WinDirStat工具升级包,伪装成正规更新下发至客户服务器:

  1. 正常WinDirStat程序目录植入恶意uxtheme.dll

  2. 程序启动自动DLL侧加载执行后门主程序;

  3. 全程依托可信运维软件进程运行,防火墙、WAF不会拦截更新流量。

关键点:很多企业将RMM工具加入白名单,从未管控升级包校验,这是本次攻击最普遍突破口。

Step2:三层编译免杀后门落地,静态扫描完全失效

整套Cavern框架全部基于.NET开发,但分三种完全不同编译格式,分析师、杀毒工具需要三套逆向工具才能解析,无统一特征库:

  1. 混合模式C++/CLI(主代理uxtheme.dll):托管代码+原生代码混合导出83个伪装系统函数,仅1个真实入口,静态分析全是无效空桩;

  2. NativeAOT原生模块(通信、网络隧道dll):直接编译为原生机器码,剥离.NET特征,PE导入表极简,主流VT仅3/70引擎能检出;

  3. 纯IL托管模块(文件、数据库工具):保留符号但独立沙箱隔离,执行后直接销毁内存。

Step3:内存隔离销毁,极致反取证(核心对抗手段)

业内少见高级内存对抗设计:

  1. 每个功能模块单独创建独立AppDomain沙箱加载;

  2. 模块执行完毕直接卸载整个内存域,无残留程序集;

  3. 程序启动自动清理工作目录旧载荷,删除历史后门文件;

  4. 无落地持久化恶意文件,重启后痕迹大幅消失。

Step4:伪装微软云C2通信,流量完美隐身

攻击者不使用恶意裸IP,套多层伪装链路规避流量审计:

  1. 上层伪装Azure金融API网关域名做令牌中转;

  2. 真实指令下发、数据外传依托SharePoint列表做隐蔽队列;

  3. 流量全部XOR(0x48)+Base64加密,请求头模拟Edge标准浏览器;

  4. 支持HTTP/WS双通道心跳,30秒静默轮询,低流量几乎无告警。

Step5:全功能后渗透模块,拿下整个内网

框架模块化拆分,按需从C2下发功能,不会一次性落地全套工具,隐蔽性拉分五大模块:

  1. mhm.dll 文件模块:全盘检索、DPAPI解密系统存储账号、压缩批量外传;

  2. db.dll 数据库模块:遍历SQL库、批量查询导出企业核心业务数据;

  3. ode.dll AD域模块:枚举域用户、LDAP暴力破解、抓取域管理员权限;

  4. n-ten.dll 网络侦察:端口扫描、SMB爆破、内网共享盘遍历;

  5. n-sws.dll 隧道模块:搭建Socks5代理,实现内网全流量转发。

三、四大颠覆性高危威胁,企业务必自查

  1. RMM运维工具成最大安全盲区

绝大多数企业为方便远程运维,对SysAid、Zoho、AnyDesk等工具全开网络白名单,不校验升级包完整性,APT直接借合法更新通道永久驻留。

  1. DLL侧加载+系统文件名伪装极难排查

恶意文件命名uxtheme.dll,和Windows标准主题库同名,运维极易忽略,EDR若无进程行为监控,仅靠文件哈希无法识别变种。

3 .NET NativeAOT新型免杀技术普及

传统基于IL字符串、.NET导入表的查杀规则全部失效,大量老旧终端杀毒无法识别原生编译恶意程序,终端大面积裸奔。

  1. 跳板式连环供应链入侵风险

攻陷一家IT服务商=获得数十家下游企业内网访问权限,形成连锁数据泄露,政企、医疗外包机构为重灾区。

四、企业紧急自查清单(立刻落地)

1、终端文件巡检重点

  1. 检索C:\ProgramData目录下存在uxtheme.dll、各类-agent.dll;

  2. 排查WinDirStat、SysAid安装目录是否存在不明第三方DLL;

  3. 检索恶意互斥体:MYMUTEX123HELLP系列标记。

2、网络流量审计排查

  1. 拦截恶意域名:hospitalinstallation[.]com、配套Azure中转网关;

  2. 监控异常SharePoint高频轮询请求、携带自定义X-User-token加密报文;

  3. 终端对外长连接WebSocket隧道行为实时告警。

3、进程行为监控规则(EDR必须开启)

  1. 可信WinDirStat进程加载未知第三方DLL;

  2. Node/VSCode/SysAid等运维程序发起频繁外网心跳;

  3. 程序执行后自动清空本地工作目录、批量删除临时文件;

  4. 未知.NET原生程序发起LDAP、SQL批量查询、SMB爆破。

4、RMM运维管控紧急加固

  1. 关闭RMM自动更新,采用内网离线校验升级包;

  2. 限制RMM服务器外网访问,仅内网VPN接入;

  3. 对所有运维程序目录做文件完整性哈希监控。

五、分层防御落地方案(边界+终端+运营)

1、边界层:防火墙/云WAF

拦截报告内全部恶意C2域名、异常SharePoint批量列表访问;

出站流量开启深度内容检测,识别XOR+Base64加密恶意载荷;

收敛RMM工具外网访问权限,禁用无限制公网更新通道。

2、终端层:EDR行为防护(重中之重)

放弃仅依赖哈希静态查杀,开启三大核心能力:

  1. DLL侧加载行为监控,拦截正规程序目录未知第三方库;

  2. .NET NativeAOT原生程序行为分析,监测内存沙箱创建销毁动作;

3 异常数据库、LDAP、内网共享批量访问实时阻断;

  1. 程序目录自动清理、可疑互斥体告警规则。

3、安全运营层常态化狩猎

  1. 每周巡检RMM相关进程、配套目录文件变更;

  2. 监控IT服务商跳板访问内网的跨域流量;

  3. 定期导入本次事件IOC哈希、域名规则做全资产扫描;

  4. 红蓝对抗新增RMM供应链投毒、DLL侧加载专项场景。

六、文末行业警示

过去APT攻击多依靠漏洞爆破、钓鱼邮件,如今国家级团伙全面转向合法软件供应链。RMM、开发工具、运维平台这类企业刚需软件,因长期白名单放行、升级无校验,已成为APT最优突破口。

Cavern Manticore框架证明:仅靠传统特征杀毒、边界防火墙,完全无法抵御新型模块化.NET后门。企业安全建设必须转向行为检测+供应链管控+内存动态分析三位一体防护,重点管控所有远程运维、第三方工具权限,避免成为APT情报窃取跳板。

你们公司是否部署SysAid、Zoho等远程运维工具?有没有做升级包校验和目录监控?转发给运维、安全同事,立刻开展终端自查!

加入知识星球,可获取权益

一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?

三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);

四、适合谁?

 想突破职业天花板的安全工程师/架构师;

 需快速落地安全项目的企业负责人;

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《重磅APT预警|国家级模块化后门Cavern Manticore曝光!借RMM供应链渗透,传统杀毒完全失效》

评论:0   参与:  0