خبراء الأمن السيبراني يحذرون من ارتفاع أنشطة مجموعة ليسيوم هاكر في تونس
قامت إحدى الجهات الفاعلة في مجال التهديد، المعروف سابقًا بالمنظمات المضاربة في قطاعي الطاقة والاتصالات في جميع أنحاء الشرق الأوسط منذ أبريل 2018، بتطوير ترسانته من البرامج الضارة لضرب كيانين في تونس. وعزا باحثو الأمن في كاسبرسكي (Kaspersky) ، الذين قدموا نتائجهم في مؤتمر فيروس بلوتين (VirusBulletin VB2021) في وقت سابق من هذا الشهر، الهجمات إلى مجموعة تم تعقبها باسم (Lyceum) المعروفة أيضًا باسم (Hexane) ، والتي تم توثيقها علنًا لأول مرة في عام 2019 بواسطة (Secureworks).و
أوضح الباحثون أسيل كيال، ومارك ليشتيك، وبول راسكينيريس: “الضحايا الذين لاحظناهم كانوا جميعًا منظمات تونسية رفيعة المستوى، مثل شركات الاتصالات أو الطيران”. “استنادًا إلى الصناعات المستهدفة، نفترض أن المهاجمين ربما كانوا مهتمين بالمساس بهذه الكيانات لتتبع تحركات واتصالات الأفراد الذين تهمهم.”
أظهر تحليل مجموعة أدوات عامل التهديد أن الهجمات قد تحولت من الاستفادة من مزيج من نصوص باورشل (PowerShell) النصية وأداة إدارة عن بعد قائمة على شبكة الانترنت تسمى دانبوت “DanBot”إلى متغيرين جديدين للبرامج الضارة مكتوبين بلغة
(C ++) و يشار إليهما باسم جيمس “James”وكيفن “Kevin” بسبب الاستخدام المتكرر للأسماء في مسارات (PDB) للعينات الأساسية.
في حين أن عينة جيمس ‘James’ تعتمد بشكل كبير على دانبوت (DanBot)، يأتي كيفن’Kevin’ مع تغييرات كبيرة في الهندسة المعمارية وبروتوكول الاتصال، حيث تعتمد المجموعة في الغالب على الأخير اعتبارًا من ديسمبر 2020، مما يشير إلى محاولة تجديد البنية التحتية للهجوم ردًا على الكشف العلني.
ومع ذلك، يدعم كلا الجهازين الاتصال بخادم الأوامر والخادم عن بُعد عبر بروتوكولات مصممة خصيصًا عبر (DNS) أو (HTTP) ، مما يعكس نفس تقنية دانبوت (DanBot). بالإضافة إلى ذلك، يُعتقد أيضًا أن المهاجمين قاموا بنشر برنامج تسجيل مفاتيح مخصص بالإضافة إلى برنامج نصي باورشل (PowerShell) في البيئات المخترقة لتسجيل ضغطات المفاتيح ونهب بيانات الاعتماد المخزنة في متصفحات الويب.
قال بائع الأمن السيبراني الروسي إن أساليب الهجوم المستخدمة في الحملة ضد الشركات التونسية تشبه التقنيات التي نُسبت سابقًا إلى عمليات القرصنة المرتبطة بمجموعة (DNSpionage)، والتي بدورها أظهرت تداخلًا في الحرف اليدوية مع ممثل تهديد إيراني يُطلق عليه اسم ( OilRigالمعروف أيضًا باسم APT34)، مع الإشارة إلى “أوجه التشابه الكبيرة” بين مستندات الإغراء التي قدمتها مدرسة ليسيوم في 2018-2019 وتلك التي يستخدمها (DNSpionage).
مع الكشف الكبير عن نشاط (DNSpionage) في 2018، بالإضافة إلى المزيد من نقاط البيانات التي تلقي الضوء على علاقة واضحة مع (APT34)، […] ربما تكون الأخيرة قد غيرت بعضًا من طريقة عملها وهيكلها التنظيمي، لتتجلى في كيانات تشغيلية جديدة والأدوات والحملات. إحدى هذه الكيانات هي مجموعة (Lyceum)، التي اضطرت إلى إعادة تجهيزها مرة أخرى بعد تعرضها لمزيد من المعلومات بواسطة (Secureworks) في عام 2019.
المصدر: (thehackernews.com)
