חוקרי Check Point Research חשפו מתקפת סייבר חדשה נגד ארגונים ישראליים, המכונה "Operation Epic Fury" ומיוחסת לקבוצת APT איראנית בשם Cavern Manticore (המזוהה גם בשם Cav3rn). הקבוצה קשורה למשרד המודיעין והביטחון של איראן ומציגה חפיפות טכניות עם קבוצות סייבר איראניות אחרות מוכרות דוגמת MuddyWater ו- Lyceum. הפעילות, המנוטרת בידי Check Point מאז תחילת 2026, מכוונת בעיקר לגופי ממשלה ולספקי שירותי IT בישראל.
הכלי החדש: מסגרת C2 מודולרית
במרכז מתקפת סייבר זו עומדת מסגרת שליטה ובקרה (C2) חדשה ולא מתועדת בשם Cavern — פלטפורמה מודולרית מבוססת .NET, המורכבת מסוכן (Agent) קבוע וממודולים ייעודיים לריגול, גניבת מידע, יצירת מנהרות תקשורת ותנועה רוחבית ברשת. המסגרת נבנתה בשלושה פורמטי קומפילציה שונים (.NET Framework, Mixed-Mode C++/CLI ו- .NET Native AOT) — בחירה טכנית שנועדה להקשות משמעותית על ניתוח והנדסה לאחור, שכן היא מאלצת את חוקרי הסייבר להשתמש במגוון כלים. יכולות המודולים כוללות בין היתר מיפוי Active Directory, סריקת רשת, שאילתות מסדי נתונים, חילוץ נתוני אימות מוגני-DPAPI ותיעול תעבורה מוצפן. הקבוצה משתמשת גם בבידוד AppDomain נפרד לכל מודול, כך שכל מודול נטען, מבוצע ומפורק מיד לאחר מכן — טכניקה נוספת להתחמקות. חלק מהדגימות נצפו עם שיעורי זיהוי אפסיים או נמוכים מאוד ב- VirusTotal, תוצאה שנקשרת ישירות לאותה גישת קומפילציה רב-פורמטית המקשה על מנועי האנטי-וירוס.
וקטור התקיפה: הספק כשער הכניסה
זהו לב הסיפור מבחינת ארגונים ישראליים: הגישה הראשונית מושגת דרך ניצול לרעה של מנגנון עדכוני התוכנה של מערכת SysAid (כלי ניהול שירותי IT נפוץ). התוקף מפעיל "עדכון תוכנה" יזום, שמוביל להתקנת חבילה זדונית תחת C:\ProgramData\WinDir. בשלב זה נכנסת לפעולה טכניקת טעינה צדדית (DLL side-loading): קובץ ההרצה הלגיטימי WinDirStat.exe טוען קובץ uxtheme.dll מפוברק המכיל את סוכן Cavern, אשר בתורו טוען את מודול התקשורת הנייטיב n-HTCommp.dll. במילים אחרות: הנוזקה מוסווית כעדכון תוכנה לגיטימי ומגיעה דרך ערוץ שהארגון סומך עליו במלואו.
חמור מכך — התוקפים משתמשים בטקטיקת שרשרת אספקה רב-שלבית: הם פורצים תחילה ספק IT אחד, נעים ממנו לספק שני (second-hop) תוך ניצול מערכות היחסים המהימנות בין הגורמים ורק אז מגיעים ליעד הסופי. תשתיות RMM וכלי ניהול מרחוק הופכים למכפיל כוח המאפשר תנועה רוחבית בין קורבנות והפצת נוזקה במסווה של עדכונים.
מדוע זה קריטי לארגון הישראלי
המשמעות העסקית ברורה: הסיכון אינו מגיע מתוקף חיצוני חשוד, אלא מבפנים — דרך ספק ה- IT או ה- RMM שהארגון סומך עליו. תעבורה שנראית כמו עדכון תוכנה צפוי, חתום ולגיטימי – עלולה להיות למעשה ערוץ שליטה עוין. הסתמכות בלעדית על חתימות דיגיטליות, על "רשימות היתר" של ספקים או על IOCs סטטיים — אינה מספקת. Check Point עצמם מדגישים כי הזיהוי חייב להתבסס על דפוסי התנהגות, על ניצול לרעה של ערוצים ניהוליים מהימנים ועל דפוסי DLL side-loading ולא על חתימות בלבד. בין ההמלצות המעשיות שלהם: בחינה ממוקדת של יומנים, אירועי הרצת תהליכים ופעילות קבצים הקשורים ל- uxtheme.dll; בדיקת תיקיית C:\ProgramData לאיתור מיקום DLL חריג, תיקיות שנוצרו לאחרונה וקבצים בלתי חתומים וכן, אכיפת בקרות גישה מחמירות והגבלת סשנים מרוחקים.
זווית ההגנה של 010
כאן נכנס לתמונה שירות ה- SIEM/SOC של 010. הערך המרכזי שלו במקרה כזה הוא ניטור וזיהוי רציף בתוך הרשת של התנהגות חריגה — גם כאשר היא מגיעה מספק או מכלי מהימן. מרכז ניטור (SOC) הפועל 24/7 עשוי לזהות אנומליות כמו יצירת תיקיות חשודות ב- C:\ProgramData, טעינת DLL לא צפויה בתהליכים לגיטימיים, פעילות חריגה של תוכנת RMM או תקשורת יוצאת חשודה — בדיוק אותם דפוסים שחתימה בודדת מפספסת.
לצד זאת, רלוונטיים גם שירותי מודיעין סייבר (למעקב אחר תשתיות ומזהים חדשים של השחקן), עדכוני תוכנה ואבטחה (לצמצום משטח התקיפה בכלי ניהול צד-שלישי) וסקר סיכונים (למיפוי החשיפה דרך ספקי IT וקבלני משנה). מתקפת Cavern Manticore ממחישה שהחוליה החלשה של ארגונים ישראליים רבים אינה בהכרח בתוך הרשת שלהם — אלא בשרשרת האמון שמסביבם.