APT yang didukung negara Iran yang dikenal sebagai ‘Lyceum’ (Hexane, Spilrin) menargetkan ISP dan penyedia layanan telekomunikasi di Timur Tengah dan Afrika antara Juli dan Oktober 2021.
Selain Israel, yang secara permanen menjadi sasaran para peretas Iran, para peneliti telah melihat serangan malware backdoor Lyceum di Maroko, Tunisia, dan Arab Saudi.
Dalam kampanye terbaru yang dianalisis dalam laporan bersama antara peneliti di Accenture dan Prevailion, Lyceum terlihat menggunakan dua keluarga malware yang berbeda, dijuluki Shark dan Milan.
Backdoor Shark adalah executable 32-bit yang ditulis dalam C# dan .NET yang digunakan untuk menjalankan perintah dan mengekstrak data dari sistem yang terinfeksi.
Milan adalah trojan akses jarak jauh (RAT) 32-bit yang dapat mengambil data dari sistem yang disusupi dan mengekstraknya ke host yang berasal dari domain generation algorithms (DGA).
Kedua backdoor berkomunikasi melalui DNS dan HTTPS dengan server perintah dan kontrol (C2), dengan Shark juga menggunakan tunneling DNS.
Menurut analisis, yang mengungkapkan adanya pembaruan terus-menerus dari beacon dan payload, Lyceum tampaknya memantau peneliti yang menganalisis malware mereka untuk memperbarui kode mereka dan tetap berada di depan mekanisme pertahanan.
Kelompok peretas ini diyakini bermotivasi politik dan secara eksklusif tertarik pada spionase dunia maya daripada menyebabkan gangguan operasional terhadap target mereka.
Inilah sebabnya mengapa mereka fokus pada intrusi jaringan ISP, karena mengorbankan penyedia layanan tingkat tinggi adalah cara terbaik untuk mengumpulkan intelijen berharga di negara asing.
Selengkapnya: Bleeping Computer
