网络安全专家警告说，Lyceum黑客组织在突尼斯的活动正在增加

早在2018年4月，一个以打击中东能源和电信行业组织而闻名的威胁行为体已经发展出其恶意软件武库，打击突尼斯的两个实体

卡巴斯基的安全研究人员在本月早些时候的VirusBulletin VB2021会议上介绍了他们的发现，他们将这些攻击归因于一个名为Lyceum（又名Hexane）的组织，该组织于2019年首次被Secureworks公开记录

“我们观察到的受害者都是突尼斯的知名组织，比如电信或航空公司，”研究人员阿塞尔·卡亚尔、马克·莱切蒂克和保罗·拉斯卡涅雷斯详细介绍。“基于目标行业，我们假设攻击者可能有兴趣破坏这些实体，以跟踪他们感兴趣的个人的行动和通信。”

对threat actor工具集的分析表明，攻击已从利用PowerShell脚本和。基于网络的远程管理工具，称为“DabBOT”，是两种新的恶意软件变体，在C++中被称为“杰姆斯”和“凯文”，因为在底层样本的PDB路径中重复使用了名称。

也就是说，这两个工件都支持通过自定义设计的协议通过DNS或HTTP隧道与远程命令和服务器进行通信，这与DanBot的技术相同。此外，据信攻击者还在受损环境中部署了自定义键盘记录器和PowerShell脚本，以记录击键和盗取存储在web浏览器中的凭据

“关于2018年DNSpionage活动的大量披露，以及进一步的数据点，揭示了与APT34的明显关系，[…；]后者可能改变了一些运作方式和组织结构，表现为新的运营实体、工具和活动，”研究人员说其中一个实体是Lyceum集团，该集团在2019年被Secureworks进一步曝光后，不得不再次重组。"