El terrible jugador, anteriormente conocido por organizaciones en huelga en los sectores de la energía y las telecomunicaciones en todo el Medio Oriente desde abril de 2018, desarrolló su arsenal de malware para atacar a dos jugadores en Túnez.

Los investigadores de seguridad de Kaspersky, que presentaron sus hallazgos en VirusBulletin VB2021 a principios de este mes, atribuyeron los ataques a un grupo rastreado como Lyceum (también conocido como Hexane), que fue documentado públicamente por primera vez en 2019 por Secureworks.

«Las víctimas que observamos eran todas las principales organizaciones tunecinas, como telecomunicaciones o aerolíneas», dijeron los investigadores Aseel Kayal, Mark Lechtik y Paul Rascagneres. «Según las industrias objetivo, asumimos que los atacantes pueden haber estado interesados ​​en comprometer a dichas entidades para que puedan monitorear el movimiento y la comunicación de las personas que les interesan».

El análisis del conjunto de herramientas del actor de amenazas mostró que los ataques pasaron de usar una combinación de scripts de PowerShell y una herramienta de administración remota basada en .NET llamada «DanBot» a dos nuevas variantes de malware escritas en C ++ llamadas «James» y «Kevin». . “Debido al uso repetido de nombres en las rutas PDB de las muestras subyacentes.

Si bien la muestra de «James» se basa en gran medida en el malware DanBot, «Kevin» está realizando cambios importantes en la arquitectura y el protocolo de comunicaciones, y el grupo depende en gran medida de este último desde diciembre de 2020, lo que sugiere un intento de rediseñar su infraestructura de ataque en respuesta. para publicación.

Esto significa que ambos artefactos admiten la comunicación con un servidor de comando y servidor remoto a través de protocolos diseñados a medida tunelizados a través de DNS o HTTP, que reflejan la misma técnica que DanBot. Además, también se cree que los atacantes han implementado su propio registrador de teclas y secuencias de comandos de PowerShell en entornos comprometidos para registrar las pulsaciones de teclas y saquear las credenciales almacenadas en los navegadores web.

El proveedor de seguridad cibernética de Rusia dijo que los métodos de ataque utilizados en la campaña contra las empresas tunecinas eran similares a los atribuidos anteriormente a las operaciones de piratas informáticos que involucraban el espionaje de DNS, lo que a su vez mostró superposiciones comerciales con el actor de amenazas iraní OilRig (también conocido como APT34). al tiempo que enfatiza las «similitudes significativas» entre los documentos cebo proporcionados por Lyce en 2018-2019 y los utilizados por DNSpionage.

«Con importantes revelaciones sobre la actividad de espionaje de DNS en 2018, así como otros puntos de datos que arrojan luz sobre la aparente relación con APT34, […] puede haber cambiado algunos de sus flujos de trabajo y estructura organizativa, lo que se ha visto reflejado en nuevas entidades operativas, herramientas y campañas”, dijeron los investigadores. «Una de esas entidades es Lyceum Group, que tuvo que ser rediseñada después de que Secureworks fuera reeditado en 2019».