‘Lyceum’ Threat Group erweitert den Kern aufwärts ISPs
[ad_1]
“Lyceum”, ein fortschrittlicher, anhaltender Bedrohungsakteur, jener seit dem Zeitpunkt 2017 mit zahlreichen Angriffen aufwärts Telekommunikationsunternehmen sowie Öl- und Erdgasunternehmen im Nahen Osten in Vernetzung gebracht wird, hat vor kurzem damit begonnen, WWW Tafelgeschirr Provider (ISPs) und Regierungsorganisationen ins Visier zu nehmen.
Jener verstärkte Kern aufwärts ISPs scheint Teil jener Bemühungen jener Haufen zu sein, Unternehmen zu kompromittieren, um Zugang zu einer breiten Palette von Kunden und Abonnenten zu erhalten, so ein neuer Depesche von Accenture und Prevailion hoch die Aktivitäten von Lyceum selbige Woche.
Forscher des feindlichen Abwehrteams von Prevailion und jener Cyber-Abwehrgruppe von Accenture analysierten kürzlich veröffentlichte Kampagnen, die von Kaspersky und ClearSky Lyceum zugeschrieben werden. Im Mittelpunkt jener Studie standen die betriebliche Unterbau des Lyceums und dasjenige Opferprofil jener Haufen.
„Wir waren von diesem Bedrohungsakteur wegen seiner vermuteten iranischen Herkunft fasziniert, welches z. Hd. uns aufgrund jener Zunahme jener iranischen Cyber-Bedrohungen insgesamt z. Hd. die USA und ihre Verbündeten sehr wichtig ist“, sagt Karim Hijazi, Vorsitzender des Vorstands von Prevailion.
Die Studie bestätigte wenige jener früheren Erkenntnisse hoch die Schadsoftware und Taktiken jener Bedrohungsgruppe und wirft synchron ein neues Licht aufwärts die Command-and-Control-Unterbau (C2) von Lyceum und die Todesopfer-Targeting.
“Wir konnten 20 neue Domänen identifizieren, die mit ihrer C2-Unterbau verbunden sind, welches uns verdongeln unglaublichen Einblick in ihre Viktimologie gab”, sagt Hijazi.
Die Datenansammlung zeigten, dass Lyceum damit begonnen hat, Netzwerke von ISPs und Regierungen in neuen und breiteren geografischen Gebieten wie zuvor zu infiltrieren. Die Studie von Accenture und Prevailion habe beiläufig gezeigt, dass jener Bedrohungsakteur begonnen habe, in seinen Kampagnen entweder eine neue oder eine neu konfigurierte Hintertür zu verwenden, sagt Hijazi.
Secureworks war dasjenige erste Unternehmen, dasjenige die Aktivitäten jener Lyceum-Haufen in einem Depesche vom August 2019 offenlegte. Einst beschrieb jener Sicherheitsanbieter, dass sich die Bedrohungsgruppe zunächst aufwärts Ziele in Südafrika konzentrierte und dann im Jahr 2019 ihren Kern aufwärts Öl- und Gasorganisationen im Nahen Osten ausweitete. Die bevorzugte Methode des Bedrohungsakteurs, um verdongeln ersten Zugang zu einem Zielnetzwerk zu erhalten, besteht darin, legitime Kontoanmeldeinformationen zu verwenden, die zuvor durch Brute-Force- oder Passwort-Spraying-Angriffe erlangt wurden. Anschließend nutzte es die kompromittierten Konten, um Spear-Phishing-E-Mails mit einem Gefolge zu versenden, jener beim Öffnen verdongeln .Net-basierten Fernzugriffs-Trojanisches Pferd namens DanBot aufwärts infizierte Systeme herunterlädte. Die Angreifer nutzten DanBot anschließend, um andere Schadsoftware herunterzuladen, sagte Secureworks.
Im vergangenen Monat sagten Kaspersky-Forscher, sie hätten beobachtet, wie Lyceum aufwärts zwei Einrichtungen in Tunesische Republik abzielte. Jener Sicherheitsanbieter sagte, seine Untersuchung habe getreu, dass sich die Lyceum-Haufen weiterentwickelt und von jener Verwendung jener ursprünglichen .Net-basierten DanBot-Schadsoftware aufwärts neue Versionen in Kohlenstoff++ umgestellt habe. Kaspersky taufte eine jener Versionen “James” und die andere “Kevin” und beschrieb beiderartig Varianten so, dass sie dieselben benutzerdefinierten C2-Protokolle verwenden, die hoch Hypertext Transfer Protocol oder DNS getunnelt werden, die DanBot verwendet. Kaspersky sagte, es habe Lyceum beiläufig mit einer Schadsoftware-Variante entdeckt, die womöglich schier keine Netzwerkkommunikation unterstützt.
Neue Ziele
Accenture und Prevailion sagten in ihrem Depesche selbige Woche, dass sie zwischen Juli und zehnter Monat des Jahres 2021 Lyceum-Hintertüren nebst ISPs und Telekommunikationsbetreibern in Tunesische Republik, Saudi-Arabien, Marokko und Israel beobachtet hatten. Die Präsenz jener Haufen wurde beiläufig im Netzwerk eines Außenministeriums eines Landes in der Schwarze Kontinent beobachtet. Für diesen Angriffen nutzte jener Bedrohungsakteur in den frühen Phasen jener Backdoor-Versorgung DNS-Tunneling. Sie wechselten dann zur Verwendung jener in die Hintertüren integrierten HTTPs-C2-Funktionsvielfalt z. Hd. die weitere Kommunikation, so Prevailion und Accenture in ihrem Depesche. Die Untersuchung ergab, dass Lyceum in seiner Kampagne wahrscheinlich aufgrund des verstärkten Kern aufwärts die Bedrohungsgruppe begonnen hat, eine neue oder unter Umständen neu konfigurierte Hintertür zu verwenden.
“Sie verwenden DNS-Tunneling, dasjenige an AnchorDNS erinnert, dasjenige von Trickbot verwendet wird”, sagt Hijazi. “Bemerkenswert ist, dass selbige Aufklärungsinformationen keine C2-Vernetzung erfordern. Sie können frei aus dem DNS-Delegation gesammelt werden, welches die Identifizierung und dasjenige Stoppen erschwert.”
Hijazi sagt, dass Lyceums klarer Kern aufwärts ISP-Angriffe im besonderen besorgniserregend ist.
“Lyceum scheint nachdem Möglichkeiten z. Hd. Inselhüpfen zu suchen, und ISPs sind jener perfekte Knotenpunkt z. Hd. selbige Erscheinungsform von Operation”, sagt er. “Sie zuteilen einem Bedrohungsakteur, vertrauenswürdige Dienste auszunutzen, um synchron in viele verschiedene Organisationen einzudringen.”
Solche Angriffe aufwärts die logistische Kette sind letzthin immer häufiger geworden. SolarWinds ist nachdem wie vor dasjenige sichtbarste Leitvorstellung, trotzdem es gab zahlreiche andere Vorfälle, nebst denen Angreifer vertrauenswürdige und weit verbreitete Softwareanbieter und Dienstanbieter ins Visier genommen nach sich ziehen. Beispiele sind ein Sturm aufwärts Kaseya im warme Jahreszeit, nebst dem Ransomware aufwärts Systemen zahlreicher nachgelagerter Kunden des Unternehmens eingesetzt wurde, und ein weiterer Sturm aufwärts Accellion Entstehen des Jahres, nebst dem Datenansammlung zahlreicher Unternehmen offengelegt wurden.
Jener Qualität an Raffinesse, den dasjenige Lyceum gezeigt hat, deutet aufwärts eine gewisse Unterstützung jener Regierung hin, sagt Hijazi. Zumindest deutet nichts darauf hin, dass Lyceum US-Todesopfer kompromittiert hat. Aufgrund jener geopolitischen Spannungen zwischen den USA und dem Persien besteht jedoch die Sorge, dass dasjenige Lyceum irgendwann in die USA gelangen wird, sagt Hijazi.