افزایش فعالیت‌های هکری گروه Lyceum

آزمایشگاه کسپرسکی در مورد افزایش فعالیت‌های هکری گروه Lycem در تونس و هدف قرار گرفتن سازمان‌های مهم این کشور هشدار داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک بازیگر مخرب که پیش از این برای هدف قرار دادن سازمان‌های انرژی و مخابراتی خاورمیانه از سال ۲۰۱۸ شناخته شده بود، حالا توپخانه بدافزاری خود را با هدف قرار دادن دو نهاد مستقر در تونس توسعه داده است.

محققان امنیتی آزمایشگاه کسپرسکی این حملات را به گروهی به نام Lyceum یا Hexane ارتباط داده است. این گروه نخستین‌بار سال ۲۰۱۹ توسط Secureworks شناسایی شد.

محققان گفتند: تمامی قربانیان مشاهده شده، سازمان‌های مهم تونس مانند شرکت‌های مخابراتی و هوانوردی هستند. با توجه صنایع مورد هدف قرار گرفته، تصور می‌شود که مهاجمان به دلیل پایش حرکات و ارتباطات افراد علاقه‌مند به این نهادها تمایل به هدف قرار دادن آنها دارند.

بررسی‌های صورت‌گرفته بر روی مجموعه ابزار این گروه نشان از آن دارند که این حملات به سمت‌وسوی استفاده از دو گونه بدافزاری جدید به نام "جیمز" و "کِوین" به پیش رفته است. این بدافزارها به زبان C++ نوشته شده است.

اما پیش از این، حملات با استفاده از ترکیب اسکریپت های پاورشِل و ابزار مدیریت از راه دوری به نام "دَن بات" انجام می شد.

گونه بدافزاری جیمز به صورت قابل توجهی مبتنی بر دن بات استاما کِوین دارای تغییراتی اساسی در ساختار و پروتکل ارتباطی است. این گروه عمدتا برای اجرای حملات خود از مورد دوم یعنی کِوین استفاده می کنند.

کسپرسکی مدعی است که متدهای استفاده شده در کمپین سایبری علیه شرکت‌های تونسی شباهت زیادی به فعالیت‌های هکری مرتبط با گروه DNSpionage دارند. ظاهرا تکنیک های این گروه نیز شباهت زیادی به گروه APT ۳۴ دارد.