文章总结: 伊朗APT组织CavernManticore利用SysAid等RMM工具供应链投毒,部署模块化.NET后门框架,采用DLL侧加载、NativeAOT免杀、内存隔离销毁、伪装微软云C2等高级对抗技术,专攻政企和IT服务商,传统杀毒和EDR几乎无法检测。建议企业立即开展终端文件、网络流量、进程行为排查,并加固RMM运维管控。 综合评分: 90 文章分类: 威胁情报,漏洞预警,供应链安全,恶意软件,应急响应
重磅APT预警|国家级模块化后门Cavern Manticore曝光!借RMM供应链渗透,传统杀毒完全失效
原创
AI紫队安全研究 AI紫队安全研究
AI紫队安全研究
2026年7月12日 12:00 广东
在小说阅读器读本章
去阅读
大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
导语
传统特征杀毒、基础EDR彻底失效!伊朗关联APT组织Cavern Manticore(隶属OilRig旗下Lyceum分支)推出全新模块化.NET后门框架,利用SysAid远程运维工具供应链做入侵入口,搭配三重编译混淆、内存隔离销毁、伪装微软云流量等顶级对抗技术,专攻政企、科技服务商,一旦沦陷可窃取数据库、AD域控、批量横向内网渗透,整套工具无通用特征,静态查杀几乎零检出,大量使用RMM运维工具的企业风险拉满!
一、攻击团伙与核心目标
- 团伙溯源
Cavern Manticore隶属于伊朗情报部关联APT团伙,和知名OilRig(APT34)、Lyceum组织战术高度重合,长期针对中东政企、信息技术服务商发起情报窃取、供应链连环入侵,攻击链路具备鲜明“跳板渗透”特征:先攻陷IT运维服务商,再利用服务商信任权限批量入侵下游客户。
-
重点受害行业
-
政府、公共事业机构(涉密文档、域控情报)
-
IT外包、远程运维服务商(核心跳板目标)
-
金融、科研、通信企业(数据库、账号凭证)
-
制造业关键内网、研发服务器
-
核心攻击逻辑
不走Web漏洞爆破,专门信任链下手:滥用企业必备SysAid、Zoho等RMM远程管理工具更新通道投毒,依靠合法程序白名单绕过边界防护,落地多层免杀后门,全程内存执行、不留持久文件痕迹,传统安全设备很难捕捉异常。
二、完整入侵攻击全链路(一步一坑)
Step1:供应链投毒,借SysAid更新完成初始突破
攻击者篡改SysAid分发的WinDirStat工具升级包,伪装成正规更新下发至客户服务器:
-
正常WinDirStat程序目录植入恶意
uxtheme.dll; -
程序启动自动DLL侧加载执行后门主程序;
-
全程依托可信运维软件进程运行,防火墙、WAF不会拦截更新流量。
关键点:很多企业将RMM工具加入白名单,从未管控升级包校验,这是本次攻击最普遍突破口。
Step2:三层编译免杀后门落地,静态扫描完全失效
整套Cavern框架全部基于.NET开发,但分三种完全不同编译格式,分析师、杀毒工具需要三套逆向工具才能解析,无统一特征库:
-
混合模式C++/CLI(主代理uxtheme.dll):托管代码+原生代码混合导出83个伪装系统函数,仅1个真实入口,静态分析全是无效空桩;
-
NativeAOT原生模块(通信、网络隧道dll):直接编译为原生机器码,剥离.NET特征,PE导入表极简,主流VT仅3/70引擎能检出;
-
纯IL托管模块(文件、数据库工具):保留符号但独立沙箱隔离,执行后直接销毁内存。
Step3:内存隔离销毁,极致反取证(核心对抗手段)
业内少见高级内存对抗设计:
-
每个功能模块单独创建独立AppDomain沙箱加载;
-
模块执行完毕直接卸载整个内存域,无残留程序集;
-
程序启动自动清理工作目录旧载荷,删除历史后门文件;
-
无落地持久化恶意文件,重启后痕迹大幅消失。
Step4:伪装微软云C2通信,流量完美隐身
攻击者不使用恶意裸IP,套多层伪装链路规避流量审计:
-
上层伪装Azure金融API网关域名做令牌中转;
-
真实指令下发、数据外传依托SharePoint列表做隐蔽队列;
-
流量全部XOR(0x48)+Base64加密,请求头模拟Edge标准浏览器;
-
支持HTTP/WS双通道心跳,30秒静默轮询,低流量几乎无告警。
Step5:全功能后渗透模块,拿下整个内网
框架模块化拆分,按需从C2下发功能,不会一次性落地全套工具,隐蔽性拉分五大模块:
-
mhm.dll 文件模块:全盘检索、DPAPI解密系统存储账号、压缩批量外传;
-
db.dll 数据库模块:遍历SQL库、批量查询导出企业核心业务数据;
-
ode.dll AD域模块:枚举域用户、LDAP暴力破解、抓取域管理员权限;
-
n-ten.dll 网络侦察:端口扫描、SMB爆破、内网共享盘遍历;
-
n-sws.dll 隧道模块:搭建Socks5代理,实现内网全流量转发。
三、四大颠覆性高危威胁,企业务必自查
- RMM运维工具成最大安全盲区
绝大多数企业为方便远程运维,对SysAid、Zoho、AnyDesk等工具全开网络白名单,不校验升级包完整性,APT直接借合法更新通道永久驻留。
- DLL侧加载+系统文件名伪装极难排查
恶意文件命名uxtheme.dll,和Windows标准主题库同名,运维极易忽略,EDR若无进程行为监控,仅靠文件哈希无法识别变种。
3 .NET NativeAOT新型免杀技术普及
传统基于IL字符串、.NET导入表的查杀规则全部失效,大量老旧终端杀毒无法识别原生编译恶意程序,终端大面积裸奔。
- 跳板式连环供应链入侵风险
攻陷一家IT服务商=获得数十家下游企业内网访问权限,形成连锁数据泄露,政企、医疗外包机构为重灾区。
四、企业紧急自查清单(立刻落地)
1、终端文件巡检重点
-
检索
C:\ProgramData目录下存在uxtheme.dll、各类-agent.dll; -
排查WinDirStat、SysAid安装目录是否存在不明第三方DLL;
-
检索恶意互斥体:
MYMUTEX123HELLP系列标记。
2、网络流量审计排查
-
拦截恶意域名:
hospitalinstallation[.]com、配套Azure中转网关; -
监控异常SharePoint高频轮询请求、携带自定义
X-User-token加密报文; -
终端对外长连接WebSocket隧道行为实时告警。
3、进程行为监控规则(EDR必须开启)
-
可信WinDirStat进程加载未知第三方DLL;
-
Node/VSCode/SysAid等运维程序发起频繁外网心跳;
-
程序执行后自动清空本地工作目录、批量删除临时文件;
-
未知.NET原生程序发起LDAP、SQL批量查询、SMB爆破。
4、RMM运维管控紧急加固
-
关闭RMM自动更新,采用内网离线校验升级包;
-
限制RMM服务器外网访问,仅内网VPN接入;
-
对所有运维程序目录做文件完整性哈希监控。
五、分层防御落地方案(边界+终端+运营)
1、边界层:防火墙/云WAF
拦截报告内全部恶意C2域名、异常SharePoint批量列表访问;
出站流量开启深度内容检测,识别XOR+Base64加密恶意载荷;
收敛RMM工具外网访问权限,禁用无限制公网更新通道。
2、终端层:EDR行为防护(重中之重)
放弃仅依赖哈希静态查杀,开启三大核心能力:
-
DLL侧加载行为监控,拦截正规程序目录未知第三方库;
-
.NET NativeAOT原生程序行为分析,监测内存沙箱创建销毁动作;
3 异常数据库、LDAP、内网共享批量访问实时阻断;
- 程序目录自动清理、可疑互斥体告警规则。
3、安全运营层常态化狩猎
-
每周巡检RMM相关进程、配套目录文件变更;
-
监控IT服务商跳板访问内网的跨域流量;
-
定期导入本次事件IOC哈希、域名规则做全资产扫描;
-
红蓝对抗新增RMM供应链投毒、DLL侧加载专项场景。
六、文末行业警示
过去APT攻击多依靠漏洞爆破、钓鱼邮件,如今国家级团伙全面转向合法软件供应链。RMM、开发工具、运维平台这类企业刚需软件,因长期白名单放行、升级无校验,已成为APT最优突破口。
Cavern Manticore框架证明:仅靠传统特征杀毒、边界防火墙,完全无法抵御新型模块化.NET后门。企业安全建设必须转向行为检测+供应链管控+内存动态分析三位一体防护,重点管控所有远程运维、第三方工具权限,避免成为APT情报窃取跳板。
你们公司是否部署SysAid、Zoho等远程运维工具?有没有做升级包校验和目录监控?转发给运维、安全同事,立刻开展终端自查!
加入知识星球,可获取权益
一、”全球高级持续威胁:网络世界的隐形战争”,总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《重磅APT预警|国家级模块化后门Cavern Manticore曝光!借RMM供应链渗透,传统杀毒完全失效》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论