Ιρανοί hackers που ανήκουν σε μία ΑΤΡ γνωστή ως «Lyceum» (Hexane, Spillrin), η οποία υποστηρίζεται από το ιρανικό κράτος, στόχευε ISP και παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή και την Αφρική μεταξύ Ιουλίου και Οκτωβρίου 2021.
Δείτε επίσης: Google: Hackers στοχεύουν YouTubers με cookie theft malware
Εκτός από το Ισραήλ, το οποίο οι Ιρανοί hackers έχουν μόνιμα στο στόχαστρό τους, οι ερευνητές εντόπισαν επιθέσεις κακόβουλου λογισμικού με backdoor της Lyceum στο Μαρόκο, την Τυνησία και τη Σαουδική Αραβία.
Στην πιο πρόσφατη επιχείρηση που αναλύθηκε σε μια κοινή έκθεση μεταξύ ερευνητών στο Accenture και στο Prevailion, η Lyceum εμφανίζεται να χρησιμοποιεί δύο ξεχωριστές οικογένειες κακόβουλου λογισμικού, που ονομάζονται Shark και Milan.
Το Shark backdoor είναι ένα εκτελέσιμο αρχείο 32-bit γραμμένο σε C# και .NET που χρησιμοποιείται για την εκτέλεση εντολών και την εξαγωγή δεδομένων από μολυσμένα συστήματα.
Το Milan είναι ένα trojan απομακρυσμένης πρόσβασης 32 bit (RAT), που μπορεί να ανακτήσει δεδομένα από το παραβιασμένο σύστημα και να τα διευρύνει σε κεντρικούς υπολογιστές που προέρχονται από αλγόριθμους δημιουργίας τομέα (DGAs).
Και τα δύο backdoor επικοινωνούν μέσω DNS και HTTPS με τους διακομιστές εντολών και ελέγχου (C2), με το Shark να χρησιμοποιεί επίσης σήραγγα DNS.
Δείτε ακόμα: Bootkit UEFI λειτουργεί ως backdoor σε Windows από το 2012
Σύμφωνα με την τεχνική ανάλυση, η οποία αποκάλυψε μια συνεχή ανανέωση των beacons και των ωφέλιμων φορτίων, η Lyceum φαίνεται να παρακολουθεί τους ερευνητές που αναλύουν το κακόβουλο λογισμικό της για να ενημερώσει τον κώδικά της και να παραμείνει ένα βήμα μπροστά από τους αμυντικούς μηχανισμούς.
Οι πιο πρόσφατες ημερομηνίες επιθέσεων είναι από τον Οκτώβριο του 2021 και οι ερευνητές επισημαίνουν ότι τουλάχιστον δύο από τις εντοπισμένες παραβιάσεις βρίσκονται σε εξέλιξη.
Οι αναλυτές κατάφεραν να χαρτογραφήσουν τα θύματα της ομάδας, προσαρτώντας είκοσι από τους τομείς της και αναλύοντας τα δεδομένα τηλεμετρίας χωρίς να τα αφαιρέσουν.
Η αναφορά που προκύπτει παρέχει μια νέα λίστα με δείκτες παραβίασης (IoC) και πολλούς τρόπους εντοπισμού των δύο backdoor, επομένως έχει τη δυνατότητα να διαταράξει τη συνεχιζόμενη εκστρατεία της Lyceum.
Δείτε επίσης: Tomiris: Το νέο backdoor που μπορεί να συνδέεται με τους hackers της SolarWinds
Η συγκεκριμένη ομάδα hacking πιστεύεται ότι έχει πολιτικά κίνητρα και ενδιαφέρεται αποκλειστικά για την κατασκοπεία στον κυβερνοχώρο και όχι για να προκαλεί επιχειρησιακές διαταραχές στους στόχους της. Αυτός είναι ο λόγος για τον οποίο επικεντρώνεται στις εισβολές σε δίκτυα ISP, καθώς η παραβίαση παρόχων υπηρεσιών υψηλού επιπέδου, είναι ένας εξαιρετικός τρόπος συλλογής πολύτιμων πληροφοριών για ξένα έθνη.
, η οποία υποστηρίζεται από το ιρανικό κράτος, στόχευε ISP και){kind=link}