Forskare har gett en djupdykning i aktiviteterna i Lyceum, en iransk hotgrupp som fokuserar på att infiltrera nätverken hos telekomföretag och internetleverantörer (ISP).
Lyceum, även känt som Hexane, Siamesekitten eller Spirlin, har varit aktivt sedan 2017. Gruppen Advanced persistent hot (APT) har kopplats till kampanjer som drabbat olje- och gasföretag i Mellanöstern tidigare och nu verkar ha utökat sitt fokus till att omfatta tekniksektorn.
Enligt en rapport som publicerades på tisdagen av Accenture Cyber Threat Intelligence (ACTI) och Prevailion Adversarial Counterintelligence (PACT), mellan juli och oktober i år, upptäcktes Lyceum i attacker mot internetleverantörer och telekomorganisationer över hela Israel, Marocko, Tunisien och Saudiarabien .
Dessutom är APT ansvarig för en kampanj mot ett afrikanskt utrikesministerium.
Cybersäkerhetsteamen säger att flera av de “identifierade kompromisserna” förblir aktiva vid tidpunkten för publiceringen.
Lyceums initiala attackvektorer inkluderar credential stuffing-attacker och brute-force-attacker. Enligt Secureworks är individuella konton på företag av intresse vanligtvis riktade – och sedan när dessa konton har brutits används de som en språngbräda för att lansera spjutfiskeattacker mot högprofilerade chefer i en organisation.
APT verkar vara inriktat på cyberspionage. Rapporten antyder att inte bara dessa angripare söker efter data om abonnenter och anslutna tredjepartsföretag, utan när de väl kompromettats, “kan dessa industrier också användas av hotaktörer eller deras sponsorer för att övervaka individer av intresse.”
Lyceum kommer att försöka distribuera två olika typer av skadlig programvara: Shark och Milan (tillsammans känd som James). Båda är bakdörrar; Shark, en 32-bitars körbar fil skriven i C# och .NET, genererar en konfigurationsfil för DNS-tunnling eller HTTP C2-kommunikation, medan Milan — en 32-bitars Remote Access Trojan (RAT) hämtar data. Båda kan kommunicera med gruppernas kommando-och-kontroll-servrar (C2).
APT har ett C2-servernätverk som ansluter till gruppens bakdörrar, som består av över 20 domäner, inklusive sex som tidigare inte var anslutna till hotaktörerna.
Bakdörrsfamiljerna med skadlig kod har tidigare avslöjats av ClearSky och Kasperksy (.PDF).
Nyligen hittade ACTI/PACT-forskarna en ny bakdörr som liknar nyare versioner av Milano som skickade beacons kopplade till potentiella attacker mot ett tunisiskt telekomföretag och en statlig myndighet i Afrika.
“Det är okänt om Milanos bakdörrsfyrar kommer från en kund till den marockanska teleoperatören eller från interna system inom operatören”, säger forskarna. “Men eftersom Lyceum historiskt har riktat in sig på telekommunikationsleverantörer och Kaspersky-teamet identifierade nyligen inriktning på telekommunikationsoperatörer i Tunisien, skulle det följa att Lyceum riktar sig mot andra nordafrikanska telekommunikationsföretag.”
Tidigare och relaterad täckning
h3>USA anklagar Storbritannien bosatt 'PlugwalkJoe' för stöld av kryptovaluta
Cyberspionage i Mellanöstern värms upp med en ny grupp som ansluter sig
Cybersäkerhetsföretag tillhandahåller hotinformation för Clop ransomware-gruppgripanden
< strong>Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter