Expertos en ciberseguridad advierten sobre un aumento de la actividad del grupo de piratería Lyceum en Túnez
Un actor de amenazas conocido en abril de 2018 por atacar a organizaciones de energía y telecomunicaciones en todo el Medio Oriente ha ampliado su arsenal de malware para afectar a dos empresas en Túnez.
Los investigadores de seguridad de Kaspersky, que presentaron sus hallazgos en VirusBulletin VB2021 a principios de este mes, atribuyeron los ataques a un grupo perseguido como Lyceum (también conocido como Hexane), documentado públicamente por primera vez por Secureworks en 2019.
«Las víctimas que observamos eran todas organizaciones tunecinas de alto perfil, como empresas de telecomunicaciones o de aviación», explicaron los investigadores Aseel Kayal, Mark Lechtik y Paul Rascagneres. «Basándonos en las industrias objetivo, asumimos que los atacantes pueden haber estado interesados en comprometer tales unidades para rastrear los movimientos y las comunicaciones de las personas que les interesan».
Un análisis del conjunto de herramientas del actor de amenazas ha demostrado que los ataques han pasado de usar una combinación de scripts de PowerShell y una herramienta de administración remota basada en .NET llamada «DanBot» a dos nuevas variantes de malware escritas en C ++ llamadas «James» y » Kevin «debido al uso repetido de los nombres en las rutas PDB de las muestras subyacentes.
Si bien la muestra de «James» se basa en gran medida en DanBot, «Kevin» viene con cambios importantes en la arquitectura y el protocolo de comunicación, y el grupo se basó principalmente en este último a partir de diciembre de 2020, lo que sugiere un intento de reconstruir su infraestructura de ataque en respuesta. para revisar la divulgación pública.
Sin embargo, ambos artefactos admiten la comunicación con un servidor de comando y servidor remoto utilizando protocolos personalizados tunelizados sobre DNS o HTTP, y reflejan la misma tecnología que DanBot. Además, los atacantes supuestamente utilizaron un registrador de teclas personalizado y un script de PowerShell en entornos comprometidos para registrar las pulsaciones de teclas y saquear las credenciales almacenadas en los navegadores web.
El proveedor de ciberseguridad ruso dijo que los métodos de ataque utilizados en la campaña contra empresas tunecinas eran similares a las técnicas previamente atribuidas a operaciones de piratería relacionadas con el grupo de espionaje del DNS, que a su vez tuvo enfrentamientos comerciales con un actor de amenazas iraní llamado OilRig (también conocido como APT34). . al tiempo que cuestiona las «similitudes significativas» entre los documentos de cebo entregados por Lyceum en 2018-2019 y los utilizados por el espionaje del DNS.
«Con revelaciones significativas sobre la actividad de espionaje de ADN en 2018, así como puntos de datos adicionales que arrojan luz sobre una aparente relación con APT34, […] Estos últimos pueden haber cambiado algunas de sus formas de trabajo y estructuras organizativas, manifestándose en nuevas unidades operativas, herramientas y campañas «, dijeron los investigadores.» Una de esas unidades es el Lyceum Group, que tuvo que ser reformado tras una mayor exposición de Secureworks en 2019 una vez más «.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
