2022年6月9日，國外網(wǎng)絡(luò)安全公司Zscaler發(fā)表題為“Lyceum：.NET DNS后門”的調(diào)查報告。報告稱經(jīng)過該公司研究團隊調(diào)查發(fā)現(xiàn)：從2017年以來，一個由伊朗政府支持的高級持續(xù)性威脅組織(APT)Lyceum主要通過基于.NET的惡意軟件針對中東地區(qū)能源和電信領(lǐng)域相關(guān)組織發(fā)動攻擊。ZscalerThreatLabz最近觀察到Lyceum組織一個新的威脅活動，該組織通過從開源工具復(fù)制底層代碼，并利用新開發(fā)和定制的基于.NET的惡意軟件攻擊中東目標(biāo)。

6月9日，國外網(wǎng)絡(luò)安全公司Zscaler在其官網(wǎng)發(fā)布了其研究團隊ZscalerThreatLabz近日新發(fā)現(xiàn)的伊朗背景高級持續(xù)性威脅組織Lyceum針對中東地區(qū)能源和電信領(lǐng)域相關(guān)組織發(fā)動的網(wǎng)絡(luò)攻擊。攻擊行動中，該組織使用了新開發(fā)的基于.NET的DNS后門程序，它是開源工具“DIG.net”的定制版本。

該攻擊行動中， Lyceum組織通過一篇啟用了宏的與伊朗軍事有關(guān)新聞報道的Word 文檔。用戶啟用宏內(nèi)容后，將執(zhí)行一個增加圖片亮度的AutoOpen() 函數(shù)，顯示標(biāo)題為“伊朗部署無人機以瞄準(zhǔn)內(nèi)部威脅，保護外部利益”的內(nèi)容。黑客利用該函數(shù)將DNS后門植入用戶系統(tǒng)中，并進一步將其寫入系統(tǒng)Startup文件夾，以增強宏代碼持久性。按照該策略，每當(dāng)系統(tǒng)重新啟動時，都會執(zhí)行DNS后門。該后門程序是一名為“DnsSystem”的基于 .NET 的 DNS 后門，它允許攻擊者遠程執(zhí)行系統(tǒng)命令并在受感染終端上上傳、下載數(shù)據(jù)。

該惡意軟件利用一種稱為“DNS劫持”的攻擊技術(shù)，DNS劫持是一種重定向攻擊，攻擊者攔截對真實網(wǎng)站的DNS查詢，并將毫無戒心的用戶帶到攻擊者控制下的欺詐頁面。該惡意軟件還使用DNS協(xié)議進行命令和控制(C2)通信，以逃避檢測并增強隱蔽性。該軟件還具備通過濫用DNS記錄在受感染終端上上傳、下載文件和執(zhí)行系統(tǒng)命令等功能，包括傳入命令的TXT記錄和數(shù)據(jù)泄露的A記錄。

Lyceum組織又被稱為Hexane、Spirlin或Siamesekitten，主要以其在中東和非洲的網(wǎng)絡(luò)攻擊而聞名。今年早些時候，斯洛伐克網(wǎng)絡(luò)安全公司 ESET將其活動與另一個名為OilRig（又名APT34）的威脅組織聯(lián)系在一起。該組織在2021年7月至10月對以色列、摩洛哥、突尼斯和沙特阿拉伯等多國的ISP和電信組織進行攻擊。

本報告由國外網(wǎng)絡(luò)安全公司Zscaler旗下的安全研究部門ThreatLabz研究發(fā)現(xiàn)。該團隊為全球數(shù)千家組織提供保護，并致力于不斷發(fā)現(xiàn)最新網(wǎng)絡(luò)威脅，具有一定的權(quán)威性和真實性。

Lyceum組織以重點攻擊中東國家實體并不斷升級其惡意軟件工具包而聞名。該組織盡管被發(fā)現(xiàn)時間較晚，但其攻擊活動非常活躍，目標(biāo)直指電信、政府和能源等行業(yè)組織，因此是一個值得警惕的威脅組織。