2022年6月9日,国外网络安全公司Zscaler发表题为“Lyceum:.NET DNS后门”的调查报告。报告称经过该公司研究团队调查发现:从2017年以来,一个由伊朗政府支持的高级持续性威胁组织(APT)Lyceum主要通过基于.NET的恶意软件针对中东地区能源和电信领域相关组织发动攻击。ZscalerThreatLabz最近观察到Lyceum组织一个新的威胁活动,该组织通过从开源工具复制底层代码,并利用新开发和定制的基于.NET的恶意软件攻击中东目标。
6月9日,国外网络安全公司Zscaler在其官网发布了其研究团队ZscalerThreatLabz近日新发现的伊朗背景高级持续性威胁组织Lyceum针对中东地区能源和电信领域相关组织发动的网络攻击。攻击行动中,该组织使用了新开发的基于.NET的DNS后门程序,它是开源工具“DIG.net”的定制版本。
该攻击行动中, Lyceum组织通过一篇启用了宏的与伊朗军事有关新闻报道的Word 文档。用户启用宏内容后,将执行一个增加图片亮度的AutoOpen() 函数,显示标题为“伊朗部署无人机以瞄准内部威胁,保护外部利益”的内容。黑客利用该函数将DNS后门植入用户系统中,并进一步将其写入系统Startup文件夹,以增强宏代码持久性。按照该策略,每当系统重新启动时,都会执行DNS后门。该后门程序是一名为“DnsSystem”的基于 .NET 的 DNS 后门,它允许攻击者远程执行系统命令并在受感染终端上上传、下载数据。
该恶意软件利用一种称为“DNS劫持”的攻击技术,DNS劫持是一种重定向攻击,攻击者拦截对真实网站的DNS查询,并将毫无戒心的用户带到攻击者控制下的欺诈页面。该恶意软件还使用DNS协议进行命令和控制(C2)通信,以逃避检测并增强隐蔽性。该软件还具备通过滥用DNS记录在受感染终端上上传、下载文件和执行系统命令等功能,包括传入命令的TXT记录和数据泄露的A记录。
Lyceum组织又被称为Hexane、Spirlin或Siamesekitten,主要以其在中东和非洲的网络攻击而闻名。今年早些时候,斯洛伐克网络安全公司 ESET将其活动与另一个名为OilRig(又名APT34)的威胁组织联系在一起。该组织在2021年7月至10月对以色列、摩洛哥、突尼斯和沙特阿拉伯等多国的ISP和电信组织进行攻击。
本报告由国外网络安全公司Zscaler旗下的安全研究部门ThreatLabz研究发现。该团队为全球数千家组织提供保护,并致力于不断发现最新网络威胁,具有一定的权威性和真实性。
Lyceum组织以重点攻击中东国家实体并不断升级其恶意软件工具包而闻名。该组织尽管被发现时间较晚,但其攻击活动非常活跃,目标直指电信、政府和能源等行业组织,因此是一个值得警惕的威胁组织。
