伊朗黑客组织Lyceum针对以色列等电信运营商实施APT攻击

最新的网络安全研究显示，受伊朗国家资助的黑客组织Lyceum与最近针对以色列和沙特阿拉伯等国家ISP电信运营商以及外交部的一系列APT攻击有关，攻击活动发生在 2021 年 7 月至 2021 年 10 月之间。
根据网络安全行业门户极牛网JIKENB.COM的梳理，黑客组织 Lyceum（又名 Hexane 或 Spirlin）自 2017 年开始活跃，以网络间谍活动为目的的国家战略重要部门为目标，同时还用新的攻击载荷重组其武器库，并将其关注目标扩大到包括 ISP 和政府机构。
黑客使用凭证填充和蛮力攻击作为初始攻击媒介来获取账户凭据并在目标组织中立足，利用访问作为跳板来投放和执行后期开发工具。
两个不同的恶意软件家族——Shark 和 Milan 是黑客部署的主要攻击载荷，每个都允许执行任意命令并将敏感数据从受感染的系统传输到远程攻击者控制的服务器。
在 2021 年 10 月下旬发现了来自突尼斯一家电信公司和非洲 MFA 的重新配置或可能是新的 Lyceum 后门的信标，这表明运营商正在根据最近的公开披露积极更新他们的后门和试图绕过安全软件的检测。
安全研究人员称，Lyceum 可能会继续使用 Shark 和 Milan 后门，尽管进行了一些修改，因为尽管公开披露了与其运营相关的妥协指标，该组织可能已经能够在受害者网络中站稳脚跟。
文章转载自腾讯新闻客户端自媒体