به گزارش کارگروه حملات سایبری سایبربان؛ یک بازیگر مخرب که پیش از این برای هدف قرار دادن سازمان های انرژی و مخابراتی خاورمیانه از سال 2018 شناخته شده بود، حالا توپخانه بدافزاری خود را با هدف قرار دادن دو نهاد مستقر در تونس توسعه داده است.
محققین امنیتی آزمایشگاه کسپرسکی این حملات را به گروهی به نام Lyceum یا Hexane ارتباط داده است. این گروه اولین بار سال 2019 توسط Secureworks شناسایی شد.
محققین گفتند:
تمامی قربانیان مشاهده شده، سازمان های مهم تونس مانند شرکت های مخابراتی و هوانوردی هستند. با توجه صنایع مورد هدف قرار گرفته، تصور می شود که مهاجمین به دلیل پایش حرکات و ارتباطات افراد علاقه مند به این نهادها تمایل به هدف قرار دادن آن ها دارند.
بررسی های صورت گرفته بر روی مجموعه ابزار این گروه نشان از آن دارند که این حملات به سمت و سوی استفاده از دو گونه بدافزاری جدید به نام "جیمز" و "کِوین" به پیش رفته است. این بدافزارها به زبان C++ نوشته شده است.
اما پیش از این، حملات با استفاده از ترکیب اسکریپت های پاورشِل و ابزار مدیریت از راه دوری به نام "دَن بات" انجام می شد.
گونه بدافزاری جیمز به صورت قابل توجهی مبتنی بر دن بات می باشد اما کِوین دارای تغییراتی اساسی در ساختار و پروتکل ارتباطی است. این گروه عمدتا برای اجرای حملات خود از مورد دوم یعنی کِوین استفاده می کنند.
کسپرسکی مدعی است که متدهای استفاده شده در کمپین سایبری علیه شرکت های تونسی شباهت زیادی به فعالیت های هکری مرتبط با گروه DNSpionage دارند. ظاهرا تکنیک های این گروه نیز شباهت زیادی به گروه APT 34 دارد.
