in

Expertos en ciberseguridad advierten sobre un aumento de la actividad del grupo de piratería Lyceum en Túnez


Un actor de amenazas conocido en abril de 2018 por atacar a organizaciones de energía y telecomunicaciones en todo el Medio Oriente ha ampliado su arsenal de malware para afectar a dos empresas en Túnez.

Los investigadores de seguridad de Kaspersky, que presentaron sus hallazgos en VirusBulletin VB2021 a principios de este mes, atribuyeron los ataques a un grupo perseguido como Lyceum (también conocido como Hexane), documentado públicamente por primera vez por Secureworks en 2019.

Copias de seguridad automáticas de GitHub

«Las víctimas que observamos eran todas organizaciones tunecinas de alto perfil, como empresas de telecomunicaciones o de aviación», explicaron los investigadores Aseel Kayal, Mark Lechtik y Paul Rascagneres. «Basándonos en las industrias objetivo, asumimos que los atacantes pueden haber estado interesados ​​en comprometer tales unidades para rastrear los movimientos y las comunicaciones de las personas que les interesan».

Un análisis del conjunto de herramientas del actor de amenazas ha demostrado que los ataques han pasado de usar una combinación de scripts de PowerShell y una herramienta de administración remota basada en .NET llamada «DanBot» a dos nuevas variantes de malware escritas en C ++ llamadas «James» y » Kevin «debido al uso repetido de los nombres en las rutas PDB de las muestras subyacentes.

Si bien la muestra de «James» se basa en gran medida en DanBot, «Kevin» viene con cambios importantes en la arquitectura y el protocolo de comunicación, y el grupo se basó principalmente en este último a partir de diciembre de 2020, lo que sugiere un intento de reconstruir su infraestructura de ataque en respuesta. para revisar la divulgación pública.

Sin embargo, ambos artefactos admiten la comunicación con un servidor de comando y servidor remoto utilizando protocolos personalizados tunelizados sobre DNS o HTTP, y reflejan la misma tecnología que DanBot. Además, los atacantes supuestamente utilizaron un registrador de teclas personalizado y un script de PowerShell en entornos comprometidos para registrar las pulsaciones de teclas y saquear las credenciales almacenadas en los navegadores web.

Gestión de contraseñas para empresas

El proveedor de ciberseguridad ruso dijo que los métodos de ataque utilizados en la campaña contra empresas tunecinas eran similares a las técnicas previamente atribuidas a operaciones de piratería relacionadas con el grupo de espionaje del DNS, que a su vez tuvo enfrentamientos comerciales con un actor de amenazas iraní llamado OilRig (también conocido como APT34). . al tiempo que cuestiona las «similitudes significativas» entre los documentos de cebo entregados por Lyceum en 2018-2019 y los utilizados por el espionaje del DNS.

«Con revelaciones significativas sobre la actividad de espionaje de ADN en 2018, así como puntos de datos adicionales que arrojan luz sobre una aparente relación con APT34, […] Estos últimos pueden haber cambiado algunas de sus formas de trabajo y estructuras organizativas, manifestándose en nuevas unidades operativas, herramientas y campañas «, dijeron los investigadores.» Una de esas unidades es el Lyceum Group, que tuvo que ser reformado tras una mayor exposición de Secureworks en 2019 una vez más «.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

FIDO Alliance Research busca la autenticación sin contraseña en su camino hacia la corriente principal

Microsoft corrige el bypass de Surface Pro 3 TPM con código de explotación pública