in

‘Lyceum’ Threat Group amplía su enfoque a los ISP



Lyceum, un actor de amenazas progresivo y persistente vinculado a numerosos ataques a compañías de telecomunicaciones y petróleo y gas en el Medio Oriente desde 2017, recientemente comenzó a apuntar a proveedores de servicios de Internet (ISP) y organizaciones gubernamentales.

El mayor enfoque en los ISP parece ser parte de los esfuerzos del grupo para comprometer a las empresas con el fin de obtener acceso a una amplia gama de clientes y suscriptores, según un nuevo informe de Accenture y Prevailion sobre las actividades de Lyceum esta semana.

Investigadores del equipo de defensa enemiga de Prevailion y del grupo de defensa cibernética de Accenture analizaron campañas recientemente publicadas atribuidas por Kaspersky y ClearSky Lyceum. El estudio se centró en la infraestructura operativa del Liceo y el perfil de víctima del grupo.

«Estábamos intrigados por este actor de amenazas debido a sus presuntos orígenes iraníes, lo cual es muy importante para nosotros para Estados Unidos y sus aliados en general, dado el aumento de las amenazas cibernéticas iraníes», dijo Karim Hijazi, director ejecutivo de Prevailion.

El estudio confirmó algunos de los hallazgos anteriores sobre el malware y las tácticas del grupo de amenazas, al tiempo que arroja nueva luz sobre la infraestructura de comando y control (C2) de Lyceum y la orientación a las víctimas.

«Pudimos identificar 20 dominios nuevos conectados a su infraestructura C2, lo que nos dio una visión increíble de su victimología», dice Hijazi.

Los datos mostraron que Lyceum ha comenzado a infiltrarse en redes de ISP y gobiernos en áreas geográficas nuevas y más amplias que antes. El estudio de Accenture y Prevailion también mostró que el actor de amenazas ha comenzado a usar una puerta trasera nueva o reconfigurada en sus campañas, dice Hijazi.

Secureworks fue el primero en revelar las actividades del Lyceum Group en un informe de agosto de 2019. En ese momento, el proveedor de seguridad describió que el grupo de amenazas se centró inicialmente en objetivos en Sudáfrica y luego expandió su enfoque a las organizaciones de petróleo y gas en el Medio Oriente en 2019. El método preferido para que el actor de la amenaza obtenga acceso inicial a una red de destino es utilizar credenciales de cuenta legítimas obtenidas previamente a través de la fuerza bruta o ataques de rociado de contraseñas. Luego usó las cuentas comprometidas para enviar correos electrónicos de spear phishing con un archivo adjunto que, cuando se abría, descargaba un troyano de acceso remoto basado en .Net llamado DanBot en los sistemas infectados. Los atacantes luego usaron DanBot para descargar otro malware, dijo Secureworks.

El mes pasado, los investigadores de Kaspersky dijeron que vieron a Lyceum atacar dos instalaciones en Túnez. El proveedor de seguridad dijo que su investigación encontró que el grupo Lyceum había evolucionado, pasando de usar el malware DanBot original basado en .Net a nuevas versiones en C ++. Kaspersky nombró a uno «James» y al otro «Kevin» y describió que ambas variantes usaban los mismos protocolos C2 personalizados tunelizados a través de HTTP o DNS que usa DanBot. Kaspersky dijo que también descubrió Lyceum con una variante de malware que no parece admitir comunicaciones de red en absoluto.

Nuevos objetivos
Accenture y Prevailion dijeron en su informe de esta semana que vieron puertas traseras de Lyceum en ISP y operadores de telecomunicaciones en Túnez, Arabia Saudita, Marruecos e Israel entre julio y octubre de 2021. La presencia del grupo también se observó en la red de un Ministerio de Relaciones Exteriores en un país de África. En estos ataques, el actor de amenazas utilizó el túnel de DNS en las primeras etapas de la implementación de la puerta trasera. Luego cambiaron a usar la funcionalidad de puerta trasera HTTPs-C2 para una mayor comunicación, dijeron Prevailion y Accenture en su informe. La investigación encontró que Lyceum comenzó a usar una puerta trasera nueva o posiblemente reconfigurada en su campaña, probablemente debido al mayor enfoque en el grupo de amenazas.

«Usan tunelización de DNS que recuerda a AnchorDNS que usa Trickbot», dice Hijazi. «Lo notable es que esta inteligencia no requiere una conexión C2. Se puede recopilar directamente de la llamada DNS, lo que dificulta su identificación y detención».

Hijazi dice que el claro enfoque de Lyceum en los ataques de ISP es particularmente preocupante.

«Lyceum parece estar buscando oportunidades para ir de isla en isla, y los ISP son el centro perfecto para este tipo de cirugía», dice. «Permiten a un actor de amenazas explotar servicios confiables para infiltrarse en muchas organizaciones diferentes al mismo tiempo».

Estos ataques a la cadena de suministro se han vuelto más comunes recientemente. SolarWinds sigue siendo el ejemplo más visible, pero ha habido muchos otros incidentes en los que los atacantes se han dirigido a proveedores de servicios y proveedores de software confiables y ampliamente utilizados. Los ejemplos incluyen un ataque a Kaseya en el verano que usó ransomware en los sistemas de muchos de los clientes intermedios de la compañía, y otro ataque a Accellion a principios de este año que expuso datos de numerosas compañías.

El nivel de sofisticación que ha mostrado el Liceo sugiere cierto apoyo del gobierno, dice Hijazi. Al menos nada que sugiera que Lyceum comprometiera a las víctimas estadounidenses. Sin embargo, dadas las tensiones geopolíticas entre Estados Unidos e Irán, existe la preocupación de que el liceo eventualmente llegue a Estados Unidos, dice Hijazi.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La nueva Microsoft Store ahora se está implementando en PC con Windows 10

Los piratas informáticos utilizan macOS Zero-Day para piratear usuarios en Hong Kong con un nuevo implante