recent
أخبار ساخنة

خبراء الأمن السيبراني يحذرون من ارتفاع هجمات مجموعة Lyceum hackers في تونس

خبراء الأمن السيبراني يحذرون من ارتفاع هجمات مجموعة Lyceum hackers في تونس
ارتفاع هجمات مجموعة Lyceum hackers





قام أحد الجهات الفاعلة في مجال التهديد، المعروف سابقًا بالمنظمات المضاربة في قطاعي الطاقة والاتصالات في جميع أنحاء الشرق الأوسط منذ أبريل 2018 ، بتطوير ترسانته من البرامج الضارة لضرب كيانين في تونس.

أضافة باحثو الأمن في Kaspersky الذين قدموا نتائجهم في مؤتمر VirusBulletin VB2021 في وقت سابق من هذا الشهر ، الهجمات إلى مجموعة تم تعقبها باسم Lyceum (المعروفة أيضًا باسم Hexane) ، والتي تم توثيقها علنًا لأول مرة في عام 2019 بواسطة Secureworks.

"الضحايا الذين لاحظناهم كانوا جميعًا منظمات تونسية رفيعة المستوى ، مثل الاتصالات السلكية واللاسلكية أو شركات الطيران" ، كما أوضح الباحثون أصيل كيال ، ومارك ليشتيك ، وبول راسكينيريس. "استنادًا إلى الصناعات المستهدفة ، نفترض أن المهاجمين ربما كانوا مهتمين بالمساس بهذه الكيانات لتتبع تحركات واتصالات الأفراد الذين تهمهم."

أظهر تحليل مجموعة أدوات عامل التهديد أن الهجمات قد تحولت من الاستفادة من مجموعة من نصوص PowerShell النصية وأداة الإدارة عن بُعد المستندة إلى .NET والمُشار إليها باسم "DanBot" إلى متغيرين جديدين للبرامج الضارة مكتوبين بلغة C ++ يشار إليهما باسم "James" و "Kevin" بسبب الاستخدام المتكرر للأسماء في مسارات PDB للعينات الأساسية.

خبراء الأمن السيبراني يحذرون من ارتفاع هجمات مجموعة Lyceum hackers في تونس
خبراء الأمن السيبراني يحذرون من مجموعة Lyceum hackers



في حين أن نموذج "James" يعتمد بشكل كبير على برنامج DanBot الضار ، يأتي "Kevin" مع تغييرات كبيرة في البنية وبروتوكول الاتصال ، حيث تعتمد المجموعة في الغالب على الأخير اعتبارًا من ديسمبر 2020 ، مما يشير إلى محاولة تجديد البنية التحتية للهجوم ردًا على ذلك. للإفصاح العام.

ومع ذلك ، يدعم كلا الجهازين الاتصال بخادم الأوامر والخادم عن بُعد عبر بروتوكولات مصممة خصيصًا عبر DNS أو HTTP ، مما يعكس نفس تقنية DanBot. بالإضافة إلى ذلك ، يُعتقد أيضًا أن المهاجمين قاموا بنشر برنامج تسجيل مفاتيح مخصص بالإضافة إلى برنامج نصي PowerShell في البيئات المخترقة لتسجيل ضغطات المفاتيح ونهب بيانات الاعتماد المخزنة في متصفحات الويب.

قال خبير الأمن السيبراني الروسي إن أساليب الهجوم المستخدمة في الحملة ضد الشركات التونسية تشبه التقنيات التي نُسبت سابقًا إلى عمليات القرصنة المرتبطة بمجموعة DNSpionage ، والتي بدورها أظهرت تداخلًا في الحرف اليدوية مع ممثل تهديد إيراني يُطلق عليه اسم OilRig (المعروف أيضًا باسم APT34) ، مع الإشارة إلى "أوجه التشابه الكبيرة" بين مستندات الإغراء التي قدمتها مدرسة ليسيوم في 2018-2019 وتلك التي يستخدمها DNSpionage.
google-playkhamsatmostaqltradent