Forskere har givet et dybt dyk ned i aktiviteterne i Lyceum, en iransk trusselgruppe, der fokuserer på at infiltrere netværkene af teleselskaber og internetudbydere (ISP'er).
Lyceum, også kendt som Hexane, Siamesekitten eller Spirlin, har været aktiv siden 2017. Gruppen avanceret vedvarende trussel (APT) har været forbundet med kampagner, der har ramt mellemøstlige olie- og gasselskaber tidligere og nu ser ud til at have udvidet sit fokus til at omfatte teknologisektoren.
Ifølge en rapport offentliggjort tirsdag af Accenture Cyber Threat Intelligence (ACTI) og Prevailion Adversarial Counterintelligence (PACT), mellem juli og oktober i år, blev Lyceum set i angreb mod internetudbydere og telekommunikationsorganisationer i Israel, Marokko, Tunesien og Saudi-Arabien .
Derudover er APT ansvarlig for en kampagne mod et afrikansk udenrigsministerium.
Cybersikkerhedsholdene siger, at flere af de “identificerede kompromiser” forbliver aktive på tidspunktet for offentliggørelsen.
Lyceums indledende angrebsvektorer inkluderer credential stuffing-angreb og brute-force-angreb. Ifølge Secureworks er individuelle konti hos virksomheder af interesse normalt målrettede – og så snart disse konti er brudt, bruges de som et springbræt til at lancere spear phishing-angreb mod højt profilerede ledere i en organisation.
APT ser ud til at være fokuseret på cyberspionage. Rapporten antyder, at disse angribere ikke kun opsøger data om abonnenter og tilsluttede tredjepartsvirksomheder, men når de først er kompromitteret, “kan disse industrier også bruges af trusselsaktører eller deres sponsorer til at overvåge enkeltpersoner af interesse.”
Lyceum vil forsøge at implementere to forskellige slags malware: Shark og Milan (sammen kendt som James). Begge er bagdøre; Shark, en 32-bit eksekverbar, skrevet i C# og .NET, genererer en konfigurationsfil til DNS-tunneling eller HTTP C2-kommunikation, mens Milan — en 32-bit Remote Access Trojan (RAT) henter data. Begge er i stand til at kommunikere med gruppernes kommando-og-kontrol (C2) servere.
APT vedligeholder et C2-servernetværk, der forbinder til gruppens bagdøre, bestående af over 20 domæner, inklusive seks, der tidligere ikke var forbundet med trusselsaktørerne.
Bagdørs malware-familier er tidligere blevet afsløret af ClearSky og Kasperksy (.PDF).
For nylig fandt ACTI/PACT-forskerne en ny bagdør svarende til nyere versioner af Milano, som sendte beacons i forbindelse med potentielle angreb mod et tunesisk teleselskab og et regeringsorgan i Afrika.
“Det er uvist, om Milano-bagdørsfyrene kommer fra en kunde hos den marokkanske telekommunikationsoperatør eller fra interne systemer i operatøren,” siger forskerne. “Men da Lyceum historisk har målrettet telekommunikationsudbydere, og Kaspersky-teamet identificerede nylige målretninger af telekommunikationsoperatører i Tunesien, ville det følge, at Lyceum retter sig mod andre nordafrikanske telekommunikationsselskaber.”
Tidligere og relateret dækning
h3>USA anklager Storbritanniens bosiddende 'PlugwalkJoe' for tyveri af kryptovaluta
Mellemøstens cyberspionage varmer op med en ny gruppe, der slutter sig til folden
Cybersikkerhedsfirmaer leverer trusselsoplysninger om Clop ransomware gruppeanholdelser
< strong>Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre