2022年6月9日，國(guó)外網(wǎng)絡(luò)安全公司Zscaler發(fā)表題為“Lyceum：.NET DNS后門”的調(diào)查報(bào)告。報(bào)告稱經(jīng)過該公司研究團(tuán)隊(duì)調(diào)查發(fā)現(xiàn)：從2017年以來，一個(gè)由伊朗政府支持的高級(jí)持續(xù)性威脅組織(APT)Lyceum主要通過基于.NET的惡意軟件針對(duì)中東地區(qū)能源和電信領(lǐng)域相關(guān)組織發(fā)動(dòng)攻擊。ZscalerThreatLabz最近觀察到Lyceum組織一個(gè)新的威脅活動(dòng)，該組織通過從開源工具復(fù)制底層代碼，并利用新開發(fā)和定制的基于.NET的惡意軟件攻擊中東目標(biāo)。

6月9日，國(guó)外網(wǎng)絡(luò)安全公司Zscaler在其官網(wǎng)發(fā)布了其研究團(tuán)隊(duì)ZscalerThreatLabz近日新發(fā)現(xiàn)的伊朗背景高級(jí)持續(xù)性威脅組織Lyceum針對(duì)中東地區(qū)能源和電信領(lǐng)域相關(guān)組織發(fā)動(dòng)的網(wǎng)絡(luò)攻擊。攻擊行動(dòng)中，該組織使用了新開發(fā)的基于.NET的DNS后門程序，它是開源工具“DIG.net”的定制版本。

該攻擊行動(dòng)中， Lyceum組織通過一篇啟用了宏的與伊朗軍事有關(guān)新聞報(bào)道的Word 文檔。用戶啟用宏內(nèi)容后，將執(zhí)行一個(gè)增加圖片亮度的AutoOpen() 函數(shù)，顯示標(biāo)題為“伊朗部署無人機(jī)以瞄準(zhǔn)內(nèi)部威脅，保護(hù)外部利益”的內(nèi)容。黑客利用該函數(shù)將DNS后門植入用戶系統(tǒng)中，并進(jìn)一步將其寫入系統(tǒng)Startup文件夾，以增強(qiáng)宏代碼持久性。按照該策略，每當(dāng)系統(tǒng)重新啟動(dòng)時(shí)，都會(huì)執(zhí)行DNS后門。該后門程序是一名為“DnsSystem”的基于 .NET 的 DNS 后門，它允許攻擊者遠(yuǎn)程執(zhí)行系統(tǒng)命令并在受感染終端上上傳、下載數(shù)據(jù)。

該惡意軟件利用一種稱為“DNS劫持”的攻擊技術(shù)，DNS劫持是一種重定向攻擊，攻擊者攔截對(duì)真實(shí)網(wǎng)站的DNS查詢，并將毫無戒心的用戶帶到攻擊者控制下的欺詐頁面。該惡意軟件還使用DNS協(xié)議進(jìn)行命令和控制(C2)通信，以逃避檢測(cè)并增強(qiáng)隱蔽性。該軟件還具備通過濫用DNS記錄在受感染終端上上傳、下載文件和執(zhí)行系統(tǒng)命令等功能，包括傳入命令的TXT記錄和數(shù)據(jù)泄露的A記錄。

Lyceum組織又被稱為Hexane、Spirlin或Siamesekitten，主要以其在中東和非洲的網(wǎng)絡(luò)攻擊而聞名。今年早些時(shí)候，斯洛伐克網(wǎng)絡(luò)安全公司 ESET將其活動(dòng)與另一個(gè)名為OilRig（又名APT34）的威脅組織聯(lián)系在一起。該組織在2021年7月至10月對(duì)以色列、摩洛哥、突尼斯和沙特阿拉伯等多國(guó)的ISP和電信組織進(jìn)行攻擊。

本報(bào)告由國(guó)外網(wǎng)絡(luò)安全公司Zscaler旗下的安全研究部門ThreatLabz研究發(fā)現(xiàn)。該團(tuán)隊(duì)為全球數(shù)千家組織提供保護(hù)，并致力于不斷發(fā)現(xiàn)最新網(wǎng)絡(luò)威脅，具有一定的權(quán)威性和真實(shí)性。

Lyceum組織以重點(diǎn)攻擊中東國(guó)家實(shí)體并不斷升級(jí)其惡意軟件工具包而聞名。該組織盡管被發(fā)現(xiàn)時(shí)間較晚，但其攻擊活動(dòng)非?；钴S，目標(biāo)直指電信、政府和能源等行業(yè)組織，因此是一個(gè)值得警惕的威脅組織。