网络安全专家警告突尼斯 Lyceum 黑客组织活动增多

早在 2018 年 4 月就曾因打击中东能源和电信部门的组织而闻名的威胁行为者已经发展其恶意软件库，以打击突尼斯的两个实体。

卡巴斯基的安全研究人员本月早些时候在 VirusBulletin VB2021 会议上展示了他们的发现，他们将这些攻击归因于一个被称为Lyceum（又名 Hexane）的组织，该组织于 2019 年首次被 Secureworks公开记录。

“我们观察到的受害者都是知名的突尼斯组织，例如电信或航空公司，”研究人员 Aseel Kayal、Mark Lechtik 和 Paul Rascagneres详细说明。“基于目标行业，我们假设攻击者可能有兴趣破坏这些实体以跟踪他们感兴趣的个人的活动和通信。”

对威胁参与者工具集的分析表明，攻击已从利用 PowerShell 脚本和基于 .NET 的远程管理工具（称为“DanBot”）的组合转变为两个用 C++ 编写的新恶意软件变体，称为“James”和“ Kevin”，因为在基础样本的PDB路径中反复使用这些名称。

虽然“James”样本在很大程度上基于 DanBot，但“Kevin”在架构和通信协议方面发生了重大变化，截至 2020 年 12 月，该组织主要依赖后者，表明其试图改造其攻击基础设施以应对公开披露。

也就是说，这两个工件都支持通过自定义设计的协议通过 DNS 或 HTTP 隧道与远程命令和服务器服务器进行通信，镜像与 DanBot 相同的技术。此外，据信攻击者还在受感染的环境中部署了自定义键盘记录器和 PowerShell 脚本，以记录击键并掠夺存储在 Web 浏览器中的凭据。

这家俄罗斯网络安全供应商表示，针对突尼斯公司的攻击活动中使用的攻击方法类似于以前归因于与DNSpionage组织相关的黑客操作的技术，而该组织反过来又展示了与名为OilRig（又名 APT34）的伊朗威胁参与者的技术重叠，同时指出 Lyceum 在 2018-2019 年交付的诱饵文件与 DNSpionage 使用的诱饵文件之间存在“重大相似之处”。

“随着对2018 年DNSpionage 活动的大量揭露，以及进一步揭示与 APT34 明显关系的数据点，[...] 后者可能已经改变了其一些运作方式和组织结构，表现为新的运营实体、工具和活动，”研究人员说。“其中一个实体是 Lyceum 集团，该集团在 2019 年被 Secureworks 进一步曝光后，不得不再次重组。”