Lyceum黑客组织“卷土重来”,以色列、沙特阿拉伯等国遭暗杀和其他国家大规模网络攻击。根据埃森哲网络威胁情报(ACTI)和PrevailionCounterintelligence(PACT)联合发布的技术报告,此次大规模网络攻击可能发生在2021年7月至2021年10月之间。摩洛哥、沙特阿拉伯等国家的通信运营商已带来了巨大的灾难。Lyceum“久负盛名”据媒体披露的可靠消息,Lyceum(又名Hexane或Spirlin)自2017年以来非常活跃,截至目前,已成功发起多起针对中东的网络间谍活动国家。Lyceum的攻击目标与其他黑客组织有很大不同。经常对具有国家战略意义的部门实施网络渗透,部署最新的恶意程序,达到窃取核心机密的目的。俄罗斯网络安全公司卡巴斯基透露,针对突尼斯两家实体的网络攻击也可能与Lyceum有关。攻击手段“多变”据ACTI和PACT网络安全研究人员分析,在此次大规模网络攻击中,黑客以传统的撞库和暴力破解攻击作为初始攻击向量。成功获取账号凭证后,在目标组织站稳脚跟。使用访问权限作为跳板来投放和执行恶意软件。据悉,Lyceum在这次攻击中使用了两个不同的恶意软件家族,分别是Shark和Milan。这两款软件可以帮助攻击者执行任意命令,并将敏感数据从被攻击系统传输到远程攻击者控制的服务器。此外,在10月下旬,研究人员在对突尼斯的一家电信网络公司进行网络检查时发现了一个新配置的恶意软件标识符。通过分析,identifier的URL语法与新版Milan生成的URL语法有些相似。Lyceum运营商很可能重新配置了Milan所使用的URL语法,以逃避IDS或IPS检测。基于黑客组织不断升级其信标和有效载荷这一事实,研究人员认为Lyceum似乎在监视研究人员分析其恶意软件以更新其恶意软件代码。参考文章:https://thehackernews.com/2021/11/irans-lyceum-hackers-target-telecoms.html
