最新的網(wǎng)絡(luò)安全研究顯示,受伊朗國(guó)家資助的黑客組織Lyceum與最近針對(duì)以色列和沙特阿拉伯等國(guó)家ISP電信運(yùn)營(yíng)商以及外交部的一系列APT攻擊有關(guān),攻擊活動(dòng)發(fā)生在 2021 年 7 月至 2021 年 10 月之間。
根據(jù)網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)JIKENB.COM的梳理,黑客組織 Lyceum(又名 Hexane 或 Spirlin)自 2017 年開始活躍,以網(wǎng)絡(luò)間諜活動(dòng)為目的的國(guó)家戰(zhàn)略重要部門為目標(biāo),同時(shí)還用新的攻擊載荷重組其武器庫,并將其關(guān)注目標(biāo)擴(kuò)大到包括 ISP 和政府機(jī)構(gòu)。
黑客使用憑證填充和蠻力攻擊作為初始攻擊媒介來獲取賬戶憑據(jù)并在目標(biāo)組織中立足,利用訪問作為跳板來投放和執(zhí)行后期開發(fā)工具。
兩個(gè)不同的惡意軟件家族——Shark 和 Milan 是黑客部署的主要攻擊載荷,每個(gè)都允許執(zhí)行任意命令并將敏感數(shù)據(jù)從受感染的系統(tǒng)傳輸?shù)竭h(yuǎn)程攻擊者控制的服務(wù)器。
在 2021 年 10 月下旬發(fā)現(xiàn)了來自突尼斯一家電信公司和非洲 MFA 的重新配置或可能是新的 Lyceum 后門的信標(biāo),這表明運(yùn)營(yíng)商正在根據(jù)最近的公開披露積極更新他們的后門和試圖繞過安全軟件的檢測(cè)。
安全研究人員稱,Lyceum 可能會(huì)繼續(xù)使用 Shark 和 Milan 后門,盡管進(jìn)行了一些修改,因?yàn)楸M管公開披露了與其運(yùn)營(yíng)相關(guān)的妥協(xié)指標(biāo),該組織可能已經(jīng)能夠在受害者網(wǎng)絡(luò)中站穩(wěn)腳跟。
文章轉(zhuǎn)載自騰訊新聞客戶端自媒體