Lyceum是一个已为人知的黑客组织,与针对中东组织的攻击有关,如今它带着新的恶意软件和策略重新露面,而这个策略与一个在伊朗运作的危险的APT组织所使用的相似。
卡巴斯基的安全研究人员表示,他们观察到新的Lyceum活动集中在突尼斯的两个实体。卡巴斯基对攻击的分析显示,Lyceum的恶意软件已经从以前的PowerShell脚本和基于.NET的远程管理工具DanBot演变为用c++编写的新恶意软件。
卡巴斯基根据他们在这个恶意代码中经常遇到的名字,将这种新的恶意软件分成了两组变种,一组叫詹姆斯,另一组叫凯文。这两种新的变种——像DanBot那样——都被设计成通过安全的DNS和HTTP隧道与它们的命令和控制服务器通信,这使得恶意活动难以被检测。
除了新的詹姆斯和凯文恶意软件变种,卡巴斯基还观察到Lyceum在其最近的攻击中使用了另一个工具,该工具似乎不包含任何网络通信机制。该公司推测,恶意软件可能是设计用来代理一个已经被泄露的网络内部系统之间的流量。Lyceum的工具包中还新增了一个PowerShell脚本,用于从浏览器中窃取用户凭证,以及一个自定义键盘记录器,看起来似乎是为相同目的设计的。
卡巴斯基在一份总结本周Lyceum活动的报告中表示,“我们对Lyceum的调查显示,该组织多年来已经发展了自己的武器库,并将其使用在新的工具上。”
Lyceum首次出现被发现是在2019年8月,当时Secureworks报告称,观察到该集团针对中东石油、天然气和电信行业的组织。Secureworks称,该威胁组织可能至少从2018年4月开始就活跃了,与Lyceum相关的攻击是基于域名注册,专注南非目标。
Secureworks表示,其调查显示,Lyceum通常利用之前通过密码喷溅或暴力破解获得的账户凭证,获得进入目标网络的初始权限。该组织的战术、技术和程序(TTPs)与其他组织的战术、技术和程序相似,那些组织专注于具有重要战略意义的中东目标,如OilRig (APT34)和Cobalt Trinity (APT33和Elfin)。然而,Secureworks指出,这些相似之处还不足以证明Lyceum与其他威胁组织之间存在直接联系。
卡巴斯基本周重申了这些相似之处,但与Secureworks一样,他没有将Lyceum的活动与此前已知的伊朗威胁分子的活动直接联系起来。据该公司分析,Lyceum的活动与另一个名为DNSpionage的威胁行为者的活动在高层次上有某些相似之处,该威胁行为者在2018年被观察到使用DNS重定向攻击黎巴嫩和阿拉伯联合酋长国的目标。卡巴斯基说,DNSpionage与OilRig的活动有关。Lyceum和DNSpionage的相似之处包括:目标位于相同区域、利用DNS和假网站来隧道指挥和控制流量、以及相似的用来引诱受害者点击恶意附件的文件。
除了对调查结果的总结外,卡巴斯基本周还发布了一份来自最近一次会议的报告,提供了关于Lyceum新活动的技术细节。
消息来源:DarkReading,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接