伊朗Lyceum黑客的目标是以色列、沙特阿拉伯和非洲的电信公司、ISP

新的调查结果显示，一名据称与伊朗有关联的国家支持的威胁行为人与一系列针对以色列、摩洛哥、突尼斯和沙特阿拉伯的互联网服务提供商（ISP）和电信运营商，以及非洲的一个外交部（MFA）的有针对性的攻击有关

据埃森哲网络威胁情报（ACTI）组织和PraveLIN的敌对反情报团队（PACT）在一份技术报告中所说，入侵被称为LyCEUM的一组入侵事件发生在七月至2021年10月之间。受害者的姓名没有透露

研究人员指出，最新的披露揭示了Lyceum使用的基于网络的基础设施，其中超过20个，能够识别“其他受害者，并进一步了解Lyceum的瞄准方法”，添加“尽管事先公开披露了妥协指标，但至少有两项已确定的妥协被评估为正在进行。”

Lyceum（又名Hexane或Spirlin）据信自2017年开始活跃，以网络间谍为目的瞄准具有国家战略重要性的行业，同时也用新的植入物重新装备其武库，并将其视野扩大到包括ISP和政府机构。俄罗斯网络安全公司卡巴斯基（Kaspersky）上个月透露，新的和更新的恶意软件和TTP使黑客组织能够对突尼斯的两个实体发起攻击

传统上，人们观察到威胁参与者使用凭证填充和蛮力攻击作为初始攻击向量，以获取帐户凭证并在目标组织中站稳脚跟，利用访问作为跳板，放弃并执行攻击后工具

两个不同的恶意软件家族—；名为Shark and Milan（卡巴斯基将其命名为“詹姆斯”）—；是威胁参与者部署的主要植入物，每个植入物都允许执行任意命令，并将敏感数据从受损系统过滤到远程攻击者控制的服务器

“Lyceum可能会继续使用Shark和Milan的后门，尽管做了一些修改，因为尽管公开披露了与其运营相关的[妥协指标]，该组织可能仍能在受害者网络中保持立足点，”研究人员说