網絡安全專家警告突尼斯 Lyceum 黑客組織活動增多

早在 2018 年 4 月就曾因打擊中東能源和電信部門的組織而聞名的威脅行為者已經發展其惡意軟件庫，以打擊突尼斯的兩個實體。

卡巴斯基的安全研究人員本月早些時候在 VirusBulletin VB2021 會議上展示了他們的發現，他們將這些攻擊歸因于一個被稱為Lyceum（又名 Hexane）的組織，該組織于 2019 年首次被 Secureworks公開記錄。

“我們觀察到的受害者都是知名的突尼斯組織，例如電信或航空公司，”研究人員 Aseel Kayal、Mark Lechtik 和 Paul Rascagneres詳細說明。“基于目標行業，我們假設攻擊者可能有興趣破壞這些實體以跟蹤他們感興趣的個人的活動和通信。”

對威脅參與者工具集的分析表明，攻擊已從利用 PowerShell 腳本和基于 .NET 的遠程管理工具（稱為“DanBot”）的組合轉變為兩個用 C++ 編寫的新惡意軟件變體，稱為“James”和“ Kevin”，因為在基礎樣本的PDB路徑中反復使用這些名稱。

雖然“James”樣本在很大程度上基于 DanBot，但“Kevin”在架構和通信協議方面發生了重大變化，截至 2020 年 12 月，該組織主要依賴后者，表明其試圖改造其攻擊基礎設施以應對公開披露。

也就是說，這兩個工件都支持通過自定義設計的協議通過 DNS 或 HTTP 隧道與遠程命令和服務器服務器進行通信，鏡像與 DanBot 相同的技術。此外，據信攻擊者還在受感染的環境中部署了自定義鍵盤記錄器和 PowerShell 腳本，以記錄擊鍵并掠奪存儲在 Web 瀏覽器中的憑據。

這家俄羅斯網絡安全供應商表示，針對突尼斯公司的攻擊活動中使用的攻擊方法類似于以前歸因于與DNSpionage組織相關的黑客操作的技術，而該組織反過來又展示了與名為OilRig（又名 APT34）的伊朗威脅參與者的技術重疊，同時指出 Lyceum 在 2018-2019 年交付的誘餌文件與 DNSpionage 使用的誘餌文件之間存在“重大相似之處”。

“隨著對2018 年DNSpionage 活動的大量揭露，以及進一步揭示與 APT34 明顯關系的數據點，[...] 后者可能已經改變了其一些運作方式和組織結構，表現為新的運營實體、工具和活動，”研究人員說。“其中一個實體是 Lyceum 集團，該集團在 2019 年被 Secureworks 進一步曝光后，不得不再次重組。”