聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
埃森哲和 Prevailion 公司发布报告称,Lyceum APT组织越来越多地关注ISP 似乎是为了通过攻陷这些组织机构来获得对更多客户和用户的访问权限。Prevailion 公司反竞争情报团队和埃森哲公司的网络防御组织分析了最近被卡巴斯基和 ClearSky 公司发布的Lyceum 活动内容,主要集中于研究该组织的运营基础架构和受害者画像。
Prevailion 公司的首席执行官 Karim Hijazi 指出,Lyceum 组织可能源自伊朗,伊朗针对美国及其盟友的网络威胁整体呈现增长态势。
Hijazi 表示,“我们识别出和Lyceum 组织C2基础设施相关的20个新域名,这使得我们能够梳理出受害者图谱。”数据显示,Lyceum 组织已经开始渗透ISP和政府机构网络,而且覆盖的地理区域要比之前更多更广泛。另外,该组织在攻击活动中已开始使用新后门或重新配置的后门。
Secureworks 公司率先在2019年8月披露了 Lyceum 组织的活动。当时,该公司指出 Lyceum 组织首先攻击位于南非的目标,之后在2019年将目光投向中东地区的组织机构。Lyceum 获取目标网络初始权限的最喜欢方式是使用此前通过暴力攻击或密码喷射获得的合法账户凭据,之后通过受陷账户发送包含附件的鱼叉式钓鱼邮件。一旦受害者打开附件,则会在受感染系统下载基于 .NET 的远程访问木马 DanBot,之后被用于下载其它恶意软件。
上个月,卡巴斯基实验室研究人员表示,发现 Lyceum APT 组织攻击位于突尼斯的两个实体,调查发现该组织已不再使用原来基于 .Net 的 DanBot 恶意软件,而是使用以 C++ 编写的新版本。卡巴斯基将这两个版本称为 “James” 和 “Kevin” 并指出这连个变体均使用了通过 DanBot 所使用HTTP 或DNS 隧道化的自定义C2 协议。卡巴斯基指出该组织还使用了似乎不支持任何网络通信的另外一个恶意软件变体。
埃森哲和 Prevailion 公司在本周发布的报告中指出,在2021年7月至10月期间,他们在位于突尼斯、沙特阿拉伯、摩洛哥和以色列的ISP和电信运营商发现了 Lyceum 后门。该组织还被指出现在非洲某国外交部网络中。在这些攻击中,该组织在后门部署早期阶段使用了DNS隧道,之后使用内置到后门的 HTTPs C2 功能进行进一步通信。调查显示,可能是因为最近对该组织的关注增多,Lyceum 组织已经在攻击活动中开始使用新后门或者重新配置后门。
Hijazi 表示,“他们正在使用DNS隧道,类似于 Trickbot 使用的 AnchorDNS。值得注意的是,这种侦察信息并不要求 C2 连接,而是可以直接从DNS调用收集,从而加大了识别和阻止的难度。”
Hijazi 认为 Lyceum 组织明确关注 ISP 攻击尤其令人担心。
他指出,“Lyceum 组织似乎正在查找‘跳岛’机会,而ISP正是这类运营的完美交叉点。威胁行动者可利用这些受信任服务同时渗透到很多不同的组织机构中。“
最近,这类供应链攻击越来越常见。虽然SolarWinds 仍然是最显而易见的案例,但在其它无数安全事件中,攻击者盯上了受信任和广泛使用的软件厂商和服务提供商。比如,夏天发生的 Kaseya 攻击事件,导致勒索软件被部署到公司的无数下游客户中,今年早些时候发生的另外一起安全事件则暴露了无数企业的数据。
Hijazi 认为,Lyceum APT 组织所显示出的复杂性说明该组织受政府支持。至少目前为止,未有证据表明 Lyceum 组织攻陷了任何美国受害者。但鉴于美国和伊朗之间的地理政治紧张局势,Lyceum APT 组织最终将波及美国。
https://www.darkreading.com/attacks-breaches/-lyceum-threat-group-broadens-focus-to-isps
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~