The Hacker News最新消息透露，Lyceum APT組織針對(duì)以色列、摩洛哥、沙特阿拉伯等國(guó)的互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 發(fā)動(dòng)了一場(chǎng)大規(guī)模網(wǎng)絡(luò)攻擊。

[[434935]]

埃森哲網(wǎng)絡(luò)威脅情報(bào)小組(ACTI) 和 Prevailion對(duì)抗反情報(bào)小組 (PACT) 等機(jī)構(gòu)聯(lián)合發(fā)布的技術(shù)報(bào)告顯示，此次大規(guī)模網(wǎng)絡(luò)攻擊可能發(fā)生在2021年7月至 2021年10月之間，給以色列、摩洛哥、沙特阿拉伯等國(guó)的通訊運(yùn)營(yíng)商帶來(lái)了巨大災(zāi)難。

Lyceum“成名已久”

據(jù)媒體披露的可靠消息，Lyceum(又名Hexane或Spirlin)自2017年以來(lái)一直處于非?；钴S的狀態(tài)，截至目前，已經(jīng)成功發(fā)動(dòng)了幾次針對(duì)中東國(guó)家的網(wǎng)絡(luò)間諜活動(dòng)。

Lyceum的攻擊目標(biāo)與其他黑客組織有很大的差別，其往往對(duì)具有國(guó)家戰(zhàn)略意義的部門實(shí)施網(wǎng)絡(luò)滲透，部署最新的惡意程序，以達(dá)到竊取核心機(jī)密的目的。俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基披露，突尼斯兩個(gè)實(shí)體遭受的網(wǎng)絡(luò)攻擊，可能同樣與Lyceum有關(guān)。

攻擊手法“變幻多端”

據(jù)ACTI和PACT網(wǎng)絡(luò)安全研究員分析，這次大規(guī)模網(wǎng)絡(luò)攻擊，黑客使用傳統(tǒng)的憑證填充和暴力攻擊作為初始攻擊載體，成功獲得賬戶憑證后，在目標(biāo)組織中獲得立足點(diǎn)，利用訪問(wèn)作為跳板，投放和執(zhí)行惡意軟件。

據(jù)悉，Lyceum在此次攻擊活動(dòng)中使用了兩個(gè)不同系列的惡意軟件，分別是 Shark 和 Milan。這兩個(gè)軟件能夠幫助攻擊者執(zhí)行任意命令，并且將敏感數(shù)據(jù)從被攻擊的系統(tǒng)中傳輸?shù)竭h(yuǎn)程攻擊者控制的服務(wù)器上。

除此之外，10月下旬，研究人員對(duì)突尼斯一家電信網(wǎng)絡(luò)公司進(jìn)行網(wǎng)絡(luò)檢測(cè)時(shí)，發(fā)現(xiàn)了一個(gè)新配置的惡意軟件標(biāo)識(shí)符。

通過(guò)分析，標(biāo)識(shí)符的URL語(yǔ)法與新版本Milan 中生成的 URL 語(yǔ)法有些相似。這很可能是 Lyceum 運(yùn)營(yíng)商重新配置了 Milan 使用的 URL 語(yǔ)法來(lái)規(guī)避 IDS 或 IPS檢測(cè)。根據(jù)黑客組織不斷升級(jí)其信標(biāo)和有效載荷的現(xiàn)象，研究人員認(rèn)為L(zhǎng)yceum似乎正在監(jiān)視分析其惡意軟件的研究人員，以更新其惡意軟件代碼。

參考文章：https://thehackernews.com/2021/11/irans-lyceum-hackers-target-telecoms.html