ارتفاع هجمات مجموعة Lyceum hackers |
قام أحد الجهات الفاعلة في مجال التهديد، المعروف سابقًا بالمنظمات المضاربة في قطاعي الطاقة والاتصالات في جميع أنحاء الشرق الأوسط منذ أبريل 2018 ، بتطوير ترسانته من البرامج الضارة لضرب كيانين في تونس.
أضافة باحثو الأمن في Kaspersky الذين قدموا نتائجهم في مؤتمر VirusBulletin VB2021 في وقت سابق من هذا الشهر ، الهجمات إلى مجموعة تم تعقبها باسم Lyceum (المعروفة أيضًا باسم Hexane) ، والتي تم توثيقها علنًا لأول مرة في عام 2019 بواسطة Secureworks.
"الضحايا الذين لاحظناهم كانوا جميعًا منظمات تونسية رفيعة المستوى ، مثل الاتصالات السلكية واللاسلكية أو شركات الطيران" ، كما أوضح الباحثون أصيل كيال ، ومارك ليشتيك ، وبول راسكينيريس. "استنادًا إلى الصناعات المستهدفة ، نفترض أن المهاجمين ربما كانوا مهتمين بالمساس بهذه الكيانات لتتبع تحركات واتصالات الأفراد الذين تهمهم."
أظهر تحليل مجموعة أدوات عامل التهديد أن الهجمات قد تحولت من الاستفادة من مجموعة من نصوص PowerShell النصية وأداة الإدارة عن بُعد المستندة إلى .NET والمُشار إليها باسم "DanBot" إلى متغيرين جديدين للبرامج الضارة مكتوبين بلغة C ++ يشار إليهما باسم "James" و "Kevin" بسبب الاستخدام المتكرر للأسماء في مسارات PDB للعينات الأساسية.
خبراء الأمن السيبراني يحذرون من مجموعة Lyceum hackers |
في حين أن نموذج "James" يعتمد بشكل كبير على برنامج DanBot الضار ، يأتي "Kevin" مع تغييرات كبيرة في البنية وبروتوكول الاتصال ، حيث تعتمد المجموعة في الغالب على الأخير اعتبارًا من ديسمبر 2020 ، مما يشير إلى محاولة تجديد البنية التحتية للهجوم ردًا على ذلك. للإفصاح العام.
ومع ذلك ، يدعم كلا الجهازين الاتصال بخادم الأوامر والخادم عن بُعد عبر بروتوكولات مصممة خصيصًا عبر DNS أو HTTP ، مما يعكس نفس تقنية DanBot. بالإضافة إلى ذلك ، يُعتقد أيضًا أن المهاجمين قاموا بنشر برنامج تسجيل مفاتيح مخصص بالإضافة إلى برنامج نصي PowerShell في البيئات المخترقة لتسجيل ضغطات المفاتيح ونهب بيانات الاعتماد المخزنة في متصفحات الويب.
قال خبير الأمن السيبراني الروسي إن أساليب الهجوم المستخدمة في الحملة ضد الشركات التونسية تشبه التقنيات التي نُسبت سابقًا إلى عمليات القرصنة المرتبطة بمجموعة DNSpionage ، والتي بدورها أظهرت تداخلًا في الحرف اليدوية مع ممثل تهديد إيراني يُطلق عليه اسم OilRig (المعروف أيضًا باسم APT34) ، مع الإشارة إلى "أوجه التشابه الكبيرة" بين مستندات الإغراء التي قدمتها مدرسة ليسيوم في 2018-2019 وتلك التي يستخدمها DNSpionage.