【安全资讯】Lyceum APT组织针对中东和非洲的 ISP、电信公司展开攻击活动

猎影实验室 2021-11-10 06:47:34 1176人浏览

引言

2021年7月至10月期间,Lyceum APT组织针对以色列、摩洛哥、突尼斯和沙特阿拉伯的互联网服务提供商(ISP)和电信运营商以及非洲的外交部 (MFA)发起了攻击。Lyceum在攻击活动中使用了两个不同的恶意软件系列,分别为 Shark 和 Milan(又名 James)。

 

简况

Shark 后门是用 C# 和 .NET 编写的 32 位可执行文件,用于执行命令并从受感染系统中窃取数据。Shark 不使用代码来促进持久化;相反,Shark 将其功能作为无限线程运行,只要受害者的机器处于开启状态,Shark 就可以持续存在,并且可以在机器关闭时重新启动 Shark 可执行文件。

 

Milan是用 Visual C++ 和 .NET 编写的 32 位远程访问木马 (RAT),可以从受感染的系统中检索数据,并将其泄露到源自域生成算法 (DGA) 的主机。尽管样本之间存在某些差异,但研究人员进行了样本比较,表明Milan样本集群之间具有高度相似性。下图描绘了五个米兰样本,其中每个样本中的字符串与其他后门的代码相似率超过 86%:

这两个后门都通过 DNS 和 HTTPS 与其命令和控制服务器 (C2) 进行通信。

 

研究人员在分析过程中观察到许多重新配置或可能是新的 Lyceum 后门的信标。新配置后门的 URL 语法与新版本 Milan 中生成的 URL 语法有些相似。这很可能是 Lyceum 运营商重新配置了 Milan 使用的 URL 语法来规避 IDS 或 IPS检测。根据其信标和有效载荷的不断更新,研究人员认为Lyceum似乎正在监视分析其恶意软件的研究人员,以更新其代码,保持领先于防御机制。

 

Lyceum APT组织只对网络间谍活动感兴趣,具有政治动机。ISP具有国外的高价值情报,因此该组织以ISP 网络为主要攻击目标。研究人员称,目前尚不清楚Milan后门信标是否来自摩洛哥电信运营商的客户或运营商内部系统。尽管伊朗历来对以色列、沙特阿拉伯和摩洛哥持敌对态度,但有趣的是,此次攻击也将突尼斯纳入了受害者名单。

 

总结

此次攻击的受害者类型和活动的时间线与上个月披露的GhostShell行动相匹配。“GhostShell”活动是由新披露的MalKamak APT组织策划,该组织可能与Lyceum等已知伊朗 APT 组织存在一定联系。

失陷指标(IOC)26
APT Lyceum 中东 Shark Milan 通信 外交
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。