伊朗黑客組織Lyceum針對以色列等電信運(yùn)營商實施APT攻擊

最新的網(wǎng)絡(luò)安全研究顯示，受伊朗國家資助的黑客組織Lyceum與最近針對以色列和沙特阿拉伯等國家ISP電信運(yùn)營商以及外交部的一系列APT攻擊有關(guān)，攻擊活動發(fā)生在 2021 年 7 月至 2021 年 10 月之間。
根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)JIKENB.COM的梳理，黑客組織 Lyceum（又名 Hexane 或 Spirlin）自 2017 年開始活躍，以網(wǎng)絡(luò)間諜活動為目的的國家戰(zhàn)略重要部門為目標(biāo)，同時還用新的攻擊載荷重組其武器庫，并將其關(guān)注目標(biāo)擴(kuò)大到包括 ISP 和政府機(jī)構(gòu)。
黑客使用憑證填充和蠻力攻擊作為初始攻擊媒介來獲取賬戶憑據(jù)并在目標(biāo)組織中立足，利用訪問作為跳板來投放和執(zhí)行后期開發(fā)工具。
兩個不同的惡意軟件家族——Shark 和 Milan 是黑客部署的主要攻擊載荷，每個都允許執(zhí)行任意命令并將敏感數(shù)據(jù)從受感染的系統(tǒng)傳輸?shù)竭h(yuǎn)程攻擊者控制的服務(wù)器。
在 2021 年 10 月下旬發(fā)現(xiàn)了來自突尼斯一家電信公司和非洲 MFA 的重新配置或可能是新的 Lyceum 后門的信標(biāo)，這表明運(yùn)營商正在根據(jù)最近的公開披露積極更新他們的后門和試圖繞過安全軟件的檢測。
安全研究人員稱，Lyceum 可能會繼續(xù)使用 Shark 和 Milan 后門，盡管進(jìn)行了一些修改，因為盡管公開披露了與其運(yùn)營相關(guān)的妥協(xié)指標(biāo)，該組織可能已經(jīng)能夠在受害者網(wǎng)絡(luò)中站穩(wěn)腳跟。
文章轉(zhuǎn)載自騰訊新聞客戶端自媒體