Iranische Lyceum-Hacker zielen auf Telekommunikationsunternehmen und ISPs in Israel, Saudi-Arabien und Afrika

  • Ein staatlich gesponserter Bedrohungsakteur, der angeblich mit dem Iran in Verbindung steht, wurde mit einer Reihe gezielter Angriffe auf Internetdienstanbieter (ISPs) und Telekommunikationsbetreiber in Israel, Marokko, Tunesien und Saudi-Arabien sowie auf ein Außenministerium in Afrika in Verbindung gebracht, wie neue Erkenntnisse zeigen.

    Die Einbrüche, die von einer Gruppe mit dem Namen Lyceum inszeniert wurden, sollen zwischen Juli und Oktober 2021 stattgefunden haben, so Forscher der Accenture Cyber Threat Intelligence (ACTI) Gruppe und des Prevailion’s Adversarial Counterintelligence Team (PACT) in einem technischen Bericht. Die Namen der Opfer wurden nicht bekannt gegeben.

    Die jüngsten Enthüllungen werfen ein Licht auf die von Lyceum genutzte webbasierte Infrastruktur, mehr als 20 an der Zahl, und ermöglichen die Identifizierung “zusätzlicher Opfer und bieten weitere Einblicke in die Zielmethodik von Lyceum”, stellten die Forscher fest und fügten hinzu: “Mindestens zwei der identifizierten Kompromittierungen werden als fortlaufend eingeschätzt, obwohl zuvor Indikatoren für eine Kompromittierung veröffentlicht wurden.”

    [Blocked Image: https://thehackernews.com/images/-_qTKDwXdOnI/YVHQqMJj85I/AAAAAAAA4Z4/RFYOUTwKxUY869ZyUVtFZRcIgVtUMHzAQCLcBGAsYHQ/s300-e100/rewind-1-300.png]

    Es wird angenommen, dass Lyceum (auch bekannt als Hexane oder Spirlin) seit 2017 aktiv ist und dafür bekannt ist, dass es Sektoren von strategischer nationaler Bedeutung zum Zweck der Cyberspionage angreift, während es sein Arsenal mit neuen Implantaten aufrüstet und sein Ziel auf ISPs und Regierungsbehörden ausweitet. Die neue und aktualisierte Malware und die TTPs haben es der Hackergruppe ermöglicht, Angriffe gegen zwei Einrichtungen in Tunesien durchzuführen, wie das russische Cybersicherheitsunternehmen Kaspersky letzten Monat bekannt gab.

    Die Bedrohungsakteure verwenden traditionell Credential Stuffing und Brute-Force-Angriffe als anfängliche Angriffsvektoren, um Zugangsdaten zu erlangen und in den Zielorganisationen Fuß zu fassen, wobei der Zugang als Sprungbrett genutzt wird, um Tools zur Nachnutzung abzulegen und auszuführen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEiJc_Xnxmmju3U9CygKQoqTUlFS6gRfQ0aRkc_BWVwDS1bBsdKtH7gFze59yDsZG5RG1JsFIMSH9ahsA82bg9-mdbdYB8S8ZC7Gm_Jzr7yRSiuC9nA0wXk9xz3eYy7CHjotDQwofYIXj6Qq3xyLSJU5YYgbGZhwHC0H_iFICC3Ksp8CoQYgtfQptR68]

    Zwei verschiedene Malware-Familien – Shark und Milan (von Kaspersky “James” genannt) – sind die primären Implantate, die von den Bedrohungsakteuren eingesetzt werden. Sie ermöglichen die Ausführung beliebiger Befehle und die Weitergabe sensibler Daten von den kompromittierten Systemen an einen vom Angreifer kontrollierten Server.

    [Blocked Image: https://thehackernews.com/images/-IEYNFQGK7qQ/YYAPZOIicJI/AAAAAAAA4fY/aOIV9neLHcErsONS5wN7zGTICukuMhO8wCLcBGAsYHQ/s728-e100/csec-inside-2-728.jpg]

    ACTI und PACT gaben außerdem an, Ende Oktober 2021 eine neu konfigurierte oder möglicherweise neue Lyceum-Hintertür bei einem Telekommunikationsunternehmen in Tunesien und einem MFA in Afrika entdeckt zu haben, was darauf hindeutet, dass die Betreiber ihre Hintertüren angesichts der jüngsten öffentlichen Enthüllungen aktiv aktualisieren und versuchen, die Erkennung durch Sicherheitssoftware zu umgehen.

    “Lyceum wird wahrscheinlich weiterhin die Shark- und Milan-Hintertüren verwenden, wenn auch mit einigen Modifikationen, da die Gruppe wahrscheinlich in der Lage war, trotz der öffentlichen Enthüllungen über die Hintertüren in den Netzwerken der Opfer Fuß zu fassen. [indicators of compromise] im Zusammenhang mit ihren Operationen”, so die Forscher.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com