The Hacker News最新消息透露,Lyceum APT以色列、摩洛哥、沙特阿拉伯等国的互联网服务提供商 (ISP) 发动了大规模的网络攻击。
埃森哲网络威胁情报小组(ACTI) 和 Prevailion对抗反情报组 (PACT) 等机构联合发布的技术报告显示,大规模网络攻击可能发生在2021年7月至2021年10月之间,给以色列、摩洛哥、沙特阿拉伯等国的通信运营商带来了巨大灾难。
Lyceum“成名已久”
根据媒体披露的可靠消息,Lyceum(又名Hexane或Spirlin)自2017年以来,它一直处于非常活跃的状态,到目前为止,它已经成功地为中东国家发起了几次在线间谍活动。
Lyceum攻击目标与其他黑客组织非常不同。它经常对具有国家战略意义的部门实施网络渗透,并部署最新的恶意程序,以窃取核心秘密。俄罗斯网络安全公司卡巴斯基透露,突尼斯的网络攻击也可能与Lyceum有关。
攻击手法“变幻多端”
据ACTI和PACT根据网络安全研究人员的分析,在这次大规模的网络攻击中,黑客使用传统的凭证填充和暴力攻击作为初始攻击载体。在成功获得账户凭证后,他们在目标组织中获得了立足点,使用访问作为跳板,发布和执行恶意软件。
据悉,Lyceum在这次攻击中使用了两个不同系列的恶意软件,即 Shark 和 Milan。这两个软件可以帮助攻击者执行任何命令,并将敏感数据从攻击系统传输到远程攻击者控制的服务器。
此外,10月下旬,研究人员在对突尼斯某电信网络公司进行网络检测时,发现了新配置的恶意软件标识符。
通过分析,标识符URL语法和新版本Milan 中产生的 URL 语法有些相似。这可能是 Lyceum 运营商重新配置了 Milan 使用的 URL 语法避免 IDS 或 IPS检测。研究人员认为,根据黑客组织信标和有效载荷的不断升级,Lyceum为了更新其恶意软件代码,研究人员似乎正在监和分析其恶意软件。
参考文章:https://thehackernews.com/2021/11/irans-lyceum-hackers-target-telecoms.html