이란 해킹 조직 Lyceum, 이스라엘, 사우디아라비아 및 아프리카의 통신, ISP 업체를 표적으로 삼아

이란과 연계된 것으로 의심되는 국가 지원 위협 행위자가 최근 이스라엘, 모로코, 튀니지, 사우디아라비아의 ISP 업체 및 통신 사업자를 겨냥한 일련의 공격이 식별되었다.

보안업체 ACTI와 Prevailion의 PACT 연구원들은 기술보고서에서 Lyceum으로 추적되는 해킹 조직이 2021년 7월부터 10월 사이에 공격을 시도한 것으로 추정된다고 발표했다. 당시 피해자는 공개되지 않았다.

2017년부터 활동한 것으로 알려진 Lyceum(별칭 Hexane 또는 Spirlin)은 사이버 스파이 활동을 위해 국가적으로 중요한 전략적 부문을 대상으로 하는 동시에 새로운 공격도구들로 무기고를 재정비하여 ISP 업체 및 정부 기관을 대상으로 공격 목표를 확대한 것으로 알려졌다. 지난달 러시아 보안업체 카스퍼스키가 공개한 내용에도 이들이 업데이트된 멀웨어와 TTP를 통해 튀니지의 기업에 대한 공격을 시작했다고 언급되어 있다.

Lyceum은 계정을 탈취하고 목표 조직에 접근하기 위해 크리덴셜 스터핑 및 무차별 대입 공격을 실시하는 것으로 알려졌다. 또한 이들은 Shark와 Milan이라고 하는 두 개의 별개 멀웨어 군을 사용했는데, 각각 임의의 명령을 실행하고 손상된 시스템에서 원격 공격자에게 중요한 데이터를 전송한다.

한편 이와 관련하여 ACTI와 PACT 연구원들은 Lyceum이 Shark 및 Milan 백도어를 지속적으로 사용할 가능성이 높다고 주의를 요구한 것으로 알려졌다.

[출처 : TheHackerNews / 11.11.]