Forskere har gitt et dypdykk i aktivitetene til Lyceum, en iransk trusselgruppe som fokuserer på å infiltrere nettverkene til telekomselskaper og internettleverandører (ISP).
Lyceum, også kjent som Hexane, Siamesekitten eller Spirlin, har vært aktiv siden 2017. Gruppen Advanced Persistent Trussel (APT) har vært knyttet til kampanjer som treffer olje- og gasselskaper i Midtøsten både tidligere og nå. ser ut til å ha utvidet fokuset til å omfatte teknologisektoren.
I følge en rapport publisert tirsdag av Accenture Cyber Threat Intelligence (ACTI) og Prevailion Adversarial Counterintelligence (PACT), mellom juli og oktober i år, ble Lyceum oppdaget i angrep mot Internett-leverandører og telekomorganisasjoner over hele Israel, Marokko, Tunisia og Saudi-Arabia .
I tillegg er APT ansvarlig for en kampanje mot et afrikansk utenriksdepartement.
Nettsikkerhetsteamene sier at flere av de «identifiserte kompromissene» fortsatt er aktive på publiseringstidspunktet.
Lyceums innledende angrepsvektorer inkluderer credential stuffing-angrep og brute-force-angrep. I følge Secureworks er individuelle kontoer hos selskaper av interesse vanligvis målrettet – og så snart disse kontoene blir brutt, blir de brukt som et springbrett for å sette i gang phishing-angrep mot høyprofilerte ledere i en organisasjon.
APT ser ut til å være fokusert på nettspionasje. Rapporten antyder at ikke bare disse angriperne oppsøker data om abonnenter og tilkoblede tredjepartsselskaper, men når de først er kompromittert, “kan disse bransjene også brukes av trusselaktører eller deres sponsorer til å overvåke enkeltpersoner av interesse.”
Lyceum vil forsøke å distribuere to forskjellige typer skadelig programvare: Shark og Milan (kjent sammen som James). Begge er bakdører; Shark, en 32-biters kjørbar fil skrevet i C# og .NET, genererer en konfigurasjonsfil for DNS-tunnelering eller HTTP C2-kommunikasjon, mens Milan — en 32-bits Remote Access Trojan (RAT) henter data. Begge er i stand til å kommunisere med gruppenes kommando-og-kontroll (C2) servere.
APT opprettholder et C2-servernettverk som kobles til gruppens bakdører, bestående av over 20 domener, inkludert seks som tidligere ikke var koblet til trusselaktørene.
Bakdørs skadevarefamilier har tidligere blitt avslørt av ClearSky og Kasperksy (.PDF).
Nylig fant ACTI/PACT-forskerne en ny bakdør som ligner på nyere versjoner av Milano som sendte beacons knyttet til potensielle angrep mot et tunisisk telekomselskap og et offentlig byrå i Afrika.
“Det er ukjent om Milano-bakdørsfyrene kommer fra en kunde hos den marokkanske telekommunikasjonsoperatøren eller fra interne systemer i operatøren,” sier forskerne. “Men siden Lyceum historisk har målrettet telekommunikasjonsleverandører og Kaspersky-teamet identifiserte nylig målretting av telekommunikasjonsoperatører i Tunisia, vil det følge at Lyceum retter seg mot andre nord-afrikanske telekommunikasjonsselskaper.”
Tidligere og relatert dekning
h3>USA anklager UK-bosatt 'PlugwalkJoe' for kryptovaluta-tyveri
Nettspionasje i Midtøsten varmes opp med en ny gruppe som slutter seg til flokken
Cybersikkerhetsfirmaer gir trusselinformasjon for Clop-ransomware-gruppearrestasjoner
< strong>Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre