idNSA.id - Seorang aktor ancaman, yang sebelumnya dikenal karena menyerang organisasi di sektor energi dan telekomunikasi di Timur Tengah pada awal April 2018, telah mengembangkan arsenal malware untuk menyerang dua entitas di Tunisia.
Peneliti keamanan di Kaspersky, menjelaskan temuan mereka di konferensi VirusBulletin VB2021 awal bulan ini, menghubungkan dengan serangan kelompok yang dilacak sebagai Lyceum (alias Hexane), yang pertama kali didokumentasikan secara publik pada tahun 2019 oleh Secureworks.
Analisis kejadian yang dilakukan oleh pelaku ancaman, telah menunjukkan bahwa serangan memanfaatkan kombinasi skrip PowerShell dan alat administrasi jarak jauh berbasis .NET yang disebut "DanBot" menjadi dua varian malware baru yang ditulis menggunakan bahasa C++ hal tersebut disebut oleh "James" dan " Kevin" sebagai penggunaan nama yang berulang di jalur PDB dari sampel yang mendasarinya.
"Para korban yang terkena adalah semua organisasi terkemuka Tunisia, seperti perusahaan telekomunikasi atau penerbangan," peneliti Aseel Kayal, Mark Lechtik, dan Paul Rascagneres detailnya . "Berdasarkan industri yang ditargetkan, kami berasumsi bahwa penyerang mungkin tertarik untuk mengkompromikan entitas tersebut untuk melacak pergerakan dan komunikasi individu yang menarik bagi mereka."
Vendor keamanan siber Rusia mengatakan bahwa metode serangan yang digunakan dalam melawan perusahaan Tunisia mirip dengan teknik yang sebelumnya dikaitkan dengan operasi peretasan yang terkait dengan grup DNSpionage , yang, pada gilirannya, telah menunjukkan kesamaan aktifitas dengan aktor ancaman Iran yang dijuluki OilRig (alias APT34), sambil menyebut "kesamaan signifikan" antara dokumen iming-iming yang dikirimkan oleh Lyceum pada 2018-2019 dan yang digunakan oleh DNSpionage.
“Dengan pengungkapan yang cukup besar tentang aktivitas DNSpionage pada tahun 2018, serta titik data lebih lanjut yang menjelaskan hubungan yang jelas dengan APT34, […] yang terakhir mungkin telah mengubah beberapa modus operandi dan struktur organisasinya, bermanifestasi menjadi entitas operasional baru , alat kampanye," kata para peneliti. "Salah satu entitas tersebut adalah grup Lyceum, yang setelah paparan lebih lanjut oleh Secureworks pada 2019, harus memperlengkapi kembali di lain waktu."
