Temui Lyceum: Peretas Iran menargetkan telekomunikasi, ISP
Security

Temui Lyceum: Peretas Iran menargetkan telekomunikasi, ISP

Para peneliti telah menyelami lebih dalam aktivitas Lyceum, kelompok ancaman Iran yang berfokus pada penyusupan ke jaringan perusahaan telekomunikasi dan penyedia layanan internet (ISP).

Lyceum, juga dikenal sebagai Hexane, Siamesekitten, atau Spirlin, telah aktif sejak 2017. Kelompok Advanced Persistent Threat (APT) telah dikaitkan dengan kampanye yang menyerang perusahaan minyak dan gas Timur Tengah di masa lalu dan sekarang tampaknya telah memperluas fokusnya ke termasuk sektor teknologi.

Menurut sebuah laporan yang diterbitkan pada hari Selasa oleh Accenture Cyber ‚Äč‚ÄčThreat Intelligence (ACTI) dan Prevailion Adversarial Counterintelligence (PACT), antara Juli dan Oktober tahun ini, Lyceum terlihat dalam serangan terhadap ISP dan organisasi telekomunikasi di seluruh Israel, Maroko, Tunisia, dan Arab Saudi. .

Selain itu, APT bertanggung jawab atas kampanye melawan kementerian luar negeri Afrika.

Tim keamanan siber mengatakan bahwa beberapa “kompromi yang teridentifikasi” tetap aktif pada saat publikasi.

Vektor serangan awal Lyceum termasuk serangan isian kredensial dan serangan brute force. Menurut Secureworks, akun individu di perusahaan yang diminati biasanya menjadi sasaran — dan kemudian setelah akun ini dilanggar, akun tersebut digunakan sebagai batu loncatan untuk meluncurkan serangan spear phishing terhadap eksekutif papan atas dalam sebuah organisasi.

APT tampaknya berfokus pada spionase siber. Laporan tersebut menunjukkan bahwa penyerang ini tidak hanya mencari data tentang pelanggan dan perusahaan pihak ketiga yang terhubung, tetapi setelah dikompromikan, “industri ini juga dapat digunakan oleh aktor ancaman atau sponsor mereka untuk mengawasi individu yang berkepentingan.”

Lyceum akan mencoba menyebarkan dua jenis malware yang berbeda: Shark dan Milan (dikenal bersama sebagai James). Keduanya adalah pintu belakang; Shark, executable 32-bit yang ditulis dalam C# dan .NET, menghasilkan file konfigurasi untuk tunneling DNS atau komunikasi HTTP C2, sedangkan Milan — Remote Access Trojan (RAT) 32-bit mengambil data. Keduanya dapat berkomunikasi dengan server command-and-control (C2) grup.

APT memelihara jaringan server C2 yang terhubung ke backdoor grup, terdiri dari lebih dari 20 domain, termasuk enam yang sebelumnya tidak terhubung dengan pelaku ancaman.

Keluarga malware backdoor sebelumnya telah diungkapkan oleh ClearSky dan Kasperksy (.PDF).

Baru-baru ini, para peneliti ACTI/PACT menemukan pintu belakang baru yang serupa dengan versi Milan yang lebih baru yang mengirimkan suar terkait dengan potensi serangan terhadap perusahaan telekomunikasi Tunisia dan lembaga pemerintah di Afrika.

“Tidak diketahui apakah suar pintu belakang Milan berasal dari pelanggan operator telekomunikasi Maroko atau dari sistem internal di dalam operator,” kata para peneliti. “Namun, karena Lyceum secara historis menargetkan penyedia telekomunikasi dan tim Kaspersky mengidentifikasi penargetan baru-baru ini terhadap operator telekomunikasi di Tunisia, maka Lyceum akan menargetkan perusahaan telekomunikasi Afrika utara lainnya.”

Liputan sebelumnya dan terkait


Punya tip? Hubungi dengan aman melalui WhatsApp | Sinyal di +447713 025 499, atau lebih di Keybase: charlie0


Posted By : togel hari ini hongkong