Иранские хакеры Lyceum атаковали телекомкомпании и интернет-провайдеров

Исследователи в области кибербезопасности из Accenture Cyber ​​Threat Intelligence (ACTI) и Prevailion Adversarial Counterintelligence (PACT) рассказали подробности об иранской киберпреступной группировке Lyceum (также известной как Hexane, Siamesekitten и Spirlin). Иранские хакеры осуществляют атаки на сети телекоммуникационных компаний и интернет-провайдеров.

Lyceum действует с 2017 года и была связана с вредоносными кампаниями, направленными против нефтегазовых компаний на Ближнем Востоке. По словам экспертов, в период с июля по октябрь нынешнего года Lyceum осуществила атаки на интернет-провайдеров и телекоммуникационные организации в Израиле, Марокко, Тунисе и Саудовской Аравии. Кроме того, APT несет ответственность за вредоносную кампанию против африканского министерства иностранных дел.

Lyceum проводит атаки с подстановкой учетных данных (credential stuffing) и брутфорс-атаки. Хакеры взламывают индивидуальные учетные записи в компаниях, а затем используют их в качестве плацдарма для запуска целевых фишинговых атак против высокопоставленных руководителей в организации.

APT-группировка, предположительно, ориентирована на кибершпионаж. Злоумышленники не только ищут данные об абонентах и ​​связанных сторонних компаниях, но также могут использовать скомпрометированные сети для наблюдения за определенными людьми.

Lyceum в ходе атак пытается установить две вредоносные программы — Shark и Milan (известные вместе как James). Вредоносы представляют собой бэкдоры. Shark написан на языках C# и .NET и генерирует файл конфигурации для DNS-туннелирования или связи с C&C-сервером, а Milan представляет собой троян для удаленного доступа.