Onderzoekers hebben een diepe duik genomen in de activiteiten van Lyceum, een Iraanse dreigingsgroep die zich richt op het infiltreren van de netwerken van telecombedrijven en internetserviceproviders (ISP's).
Lyceum, ook bekend als Hexane, Siamesekitten of Spirlin, is actief sinds 2017. De Advanced Persistent Threat-groep (APT) is in verband gebracht met campagnes die in het verleden en nu olie- en gasbedrijven in het Midden-Oosten hebben getroffen lijkt zijn focus te hebben uitgebreid naar de technologiesector.
Volgens een rapport dat dinsdag is gepubliceerd door Accenture Cyber Threat Intelligence (ACTI) en Prevailion Adversarial Counterintelligence (PACT), werd tussen juli en oktober van dit jaar Lyceum opgemerkt bij aanvallen op ISP's en telecomorganisaties in Israël, Marokko, Tunesië en Saoedi-Arabië .
Bovendien is de APT verantwoordelijk voor een campagne tegen een Afrikaans ministerie van Buitenlandse Zaken.
De cyberbeveiligingsteams zeggen dat verschillende van de “geïdentificeerde compromissen” actief blijven op het moment van publicatie.
De eerste aanvalsvectoren van Lyceum zijn onder meer credential stuffing-aanvallen en brute-force-aanvallen. Volgens Secureworks zijn individuele accounts bij interessante bedrijven meestal het doelwit – en als deze accounts eenmaal zijn gehackt, worden ze gebruikt als springplank om spear-phishing-aanvallen uit te voeren tegen spraakmakende leidinggevenden in een organisatie.
De APT lijkt zich te richten op cyberspionage. Het rapport suggereert dat deze aanvallers niet alleen op zoek gaan naar gegevens over abonnees en aangesloten externe bedrijven, maar als ze eenmaal zijn gecompromitteerd, “kunnen deze sectoren ook worden gebruikt door bedreigingsactoren of hun sponsors om personen van belang te surveilleren.”
Lyceum zal proberen twee verschillende soorten malware in te zetten: Shark en Milan (samen bekend als James). Beide zijn achterdeurtjes; Shark, een 32-bits uitvoerbaar bestand geschreven in C# en .NET, genereert een configuratiebestand voor DNS-tunneling of HTTP C2-communicatie, terwijl Milan – een 32-bits Remote Access Trojan (RAT) gegevens ophaalt. Beide kunnen communiceren met de command-and-control (C2) -servers van de groepen.
De APT onderhoudt een C2-servernetwerk dat verbinding maakt met de achterdeuren van de groep, bestaande uit meer dan 20 domeinen, waaronder zes die voorheen niet verbonden waren met de dreigingsactoren.
De backdoor-malwarefamilies zijn eerder bekendgemaakt door ClearSky en Kasperksy (.PDF).
Onlangs hebben de ACTI/PACT-onderzoekers een nieuwe achterdeur gevonden, vergelijkbaar met nieuwere versies van Milaan, die bakens uitzond die verband hielden met mogelijke aanvallen op een Tunesisch telecombedrijf en een overheidsinstantie in Afrika.
“Het is niet bekend of de achterdeurbakens in Milaan afkomstig zijn van een klant van de Marokkaanse telecommunicatie-operator of van interne systemen binnen de operator”, zeggen de onderzoekers. “Aangezien Lyceum zich in het verleden echter op telecommunicatieproviders heeft gericht en het Kaspersky-team recente aanvallen op telecommunicatie-exploitanten in Tunesië heeft vastgesteld, zou het volgen dat Lyceum zich ook richt op andere telecommunicatiebedrijven in Noord-Afrika.”
Eerdere en gerelateerde berichtgeving
h3>VS klaagt Britse ingezetene 'PlugwalkJoe' aan voor diefstal van cryptocurrency
Cyberspionage in het Midden-Oosten neemt toe met een nieuwe groep die zich bij de groep voegt
Cyberbeveiligingsfirma's leveren informatie over bedreigingen voor Clop-ransomware-groepsarrestaties
Cyberspionage in het Midden-Oosten neemt toe met een nieuwe groep die zich bij de groep voegt
Cyberbeveiligingsfirma's leveren informatie over bedreigingen voor Clop-ransomware-groepsarrestaties
< strong>Heeft u een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters