安全专家警告：突尼斯 Lyceum 黑客组织 APT 攻击活动频繁

早在 2018 年 4 月就曾因打击中东能源和电信部门的组织而闻名的黑客组织已经升级其恶意软件库，以持续攻击突尼斯的两个组织机构。

卡巴斯基的安全研究人员本月早些时候在 VirusBulletin VB2021 会议上展示了他们的发现，他们将这些攻击归因于一个被称为Lyceum（又名 Hexane）的组织，该组织于 2019 年首次被 Secureworks公开并记录。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，我们观察到的受害者都是知名的突尼斯组织，例如电信或航空公司，根据其攻击目标行业，我们认为黑客可能通过入侵这些机构以跟踪他们感兴趣的个人移动通信的数据。

对黑客工具集的分析表明，攻击已从利用 PowerShell 脚本和基于 .NET 的名为“DanBot”的远程管理工具的组合转变为两个用 C++ 编写的新恶意软件变体，称为“James”和“Kevin” “由于在基础样本的PDB路径中反复使用名称。

虽然“James”样本在很大程度上基于 DanBot 恶意软件，但“Kevin”在架构和通信协议方面发生了重大变化，截至 2020 年 12 月，该组织主要依赖后者，这表明其试图改造其攻击基础设施作为回应公开披露。

也就是说，这两个组件都支持通过自定义设计的协议通过 DNS 或 HTTP 隧道与远程命令和服务器服务器进行通信，镜像与 DanBot 相同的技术。此外，据信攻击者还在受感染的环境中部署了自定义键盘记录器和 PowerShell 脚本，以记录击键并掠夺存储在 Web 浏览器中的凭据。

这家俄罗斯网络安全供应商表示，针对突尼斯公司的攻击活动中使用的攻击方法类似于以前归因于与DNSpionage组织相关的黑客操作的技术，而该组织反过来又展示了与名为OilRig（又名 APT34）的伊朗威胁参与者的技术重叠，同时指出 Lyceum 在 2018-2019 年交付的诱饵文件与 DNSpionage 使用的诱饵文件之间存在大量的相似之处。

随着对2018 年DNSpionage 活动的大量披露，以及进一步揭示与 APT34 明显关系的数据点，后者可能已经改变了其一些运作方式和组织结构，表现为新的运营实体、工具和活动，其中一个实体是 Lyceum 集团，该集团在 2019 年被 Secureworks 进一步曝光后，不得不再次更新实体信息。