APT yang didukung negara Iran yang dikenal sebagai ‘Lyceum’ (Hexane, Spilrin) menargetkan ISP menggunakan malware dan penyedia layanan telekomunikasi di Timur Tengah dan Afrika antara Juli dan Oktober 2021.
Selain Israel, yang secara permanen menjadi sasaran para peretas Iran, para peneliti telah melihat serangan malware backdoor Lyceum di Maroko, Tunisia, dan Arab Saudi.
Dalam kampanye terbaru yang dianalisis dalam laporan bersama antara peneliti di Accenture dan Prevailion, Lyceum terlihat menggunakan dua keluarga malware yang berbeda, dijuluki Shark dan Milan.
Backdoor Shark adalah executable 32-bit yang ditulis dalam C# dan .NET yang digunakan untuk menjalankan perintah dan mengekstrak data dari sistem yang terinfeksi.
Milan adalah trojan akses jarak jauh (RAT) 32-bit yang dapat mengambil data dari sistem yang disusupi dan mengekstraknya ke host yang berasal dari algoritma pembuatan domain (DGA).
Kedua pintu belakang berkomunikasi melalui DNS dan HTTPS dengan server perintah dan kontrol (C2), dengan Shark juga menggunakan tunneling DNS.
Menurut analisis teknis, yang mengungkapkan penyegaran terus-menerus dari suar dan muatan, Lyceum tampaknya memantau peneliti yang menganalisis malware mereka untuk memperbarui kode mereka dan tetap berada di depan mekanisme pertahanan.
Tanggal pembuatan terbaru adalah dari Oktober 2021, dan para peneliti menunjukkan bahwa setidaknya dua dari kompromi yang diidentifikasi sedang berlangsung.
Para analis berhasil memetakan korban Lyceum dengan menganeksasi dua puluh domain aktor dan menganalisis data telemetri tanpa menghapusnya.
Laporan yang dihasilkan memberikan daftar baru dengan indicators of compromise (IoC) dan berbagai cara untuk mendeteksi dua backdoors, sehingga berpotensi mengganggu kampanye Lyceum yang sedang berlangsung.
Bermotif Politik
Kelompok peretas diyakini memiliki motif politik dan secara eksklusif tertarik pada spionase dunia maya daripada menyebabkan gangguan operasional terhadap target mereka.
Inilah sebabnya mengapa mereka fokus pada intrusi jaringan ISP, karena mengorbankan penyedia layanan tingkat tinggi adalah cara terbaik untuk mengumpulkan intelijen berharga di negara asing.
Prevailion menjelaskan belum diketahui sumber backdoor beacon Milan.
Secara historis Lyceum menargetkan penyedia telekomunikasi dan tim Kaspersky mengidentifikasi penargetan baru-baru ini terhadap operator telekomunikasi di Tunisia, maka Lyceum diperkirakan akan menargetkan perusahaan telekomunikasi Afrika utara lainnya.
Meskipun kampanye ‘GhostShell’ kemungkinan besar diatur oleh musuh baru APT, kampanye itu masih memiliki hubungan dengan kelompok APT Iran yang terkenal seperti Lyceum.
sumber: BLEEPING COMPUTER
