Scoperte nuove informazioni sul gruppo iraniano Lyceum.

Redazione RHC : 10 Novembre 2021 07:44

I ricercatori della sicurezza informatica di Accenture Cyber ​​​​Threat Intelligence (ACTI) e Prevailion Adversarial Counterintelligence (PACT) hanno fornito dettagli sul gruppo di criminali informatici iraniano Lyceum (noto anche come Hexane, Siamesekitten e Spirlin).

Gli hacker iraniani attaccano le reti delle società di telecomunicazioni e dei provider Internet.

Lyceum è operativo dal 2017 ed è stato collegato a campagne dannose mirate come le compagnie petrolifere e del gas in Medio Oriente. Secondo gli esperti, tra luglio e ottobre di quest’anno, Lyceum ha compiuto attacchi a provider Internet e organizzazioni di telecomunicazioni in Israele, Marocco, Tunisia e Arabia Saudita. Inoltre, l’APT è responsabile di una campagna malevola contro l’African Foreign Office.

Lyceum conduce il riempimento delle credenziali e gli attacchi di forza bruta. Gli hacker violano i singoli account aziendali e li utilizzano come trampolino di lancio per lanciare attacchi di phishing mirati contro i dirigenti di alto livello dell’organizzazione.

Il gruppo APT è presumibilmente concentrato sullo spionaggio informatico. Gli aggressori non solo cercano dati sui clienti e sulle relative società di terze parti, ma possono anche utilizzare reti compromesse per spiare determinate persone.

Lyceum tenta di installare due programmi dannosi durante gli attacchi: Shark e Milan (conosciuti collettivamente come James). I malware sono backdoor.

Shark è scritto in C# e .NET e genera un file di configurazione per il tunneling DNS o la comunicazione con un server C&C, mentre Milan è un Trojan ad accesso remoto.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.