ZDNet報導稱，以色列網絡安全公司Clearsky宣稱發現了254台服務器被Lebanese Cedar黑客入侵，推測該組織幕後與真主黨武裝有難以明說的聯繫。此前已有許多爆料稱，Lebanses Cedar與發生在英美、中東等多地的電信運營商/互聯網服務提供商入侵事件有關。而Clearsky的調查發現，新一輪攻擊可追溯到2020年初。

攻擊流程示意（圖自：Clearsky）

在今日發布的一份報告中，Clearsky 宣稱發現了至少250 台被LC 黑客入侵的服務器：

這些攻擊似乎旨在收集相關情報，竊取包含敏感數據的企業數據庫。對於電信企業來說，LC 黑客顯然也對包含通話記錄/ 客戶私人信息的數據庫有濃厚的興趣。

網絡安全研究人員指出，LC 黑客似乎遵循著一種簡單的模式：

他們會先用開源的黑客掃描工具對運營商展開互聯網掃描，以查找未打補丁的Atlassian 和Oracle 服務器。然後利用相關漏洞方法來訪問服務器並植入Web Shell，以便其將來訪問。

在完成上述準備工作之後，LC 黑客會利用暗中部署的Web Shell 對目標企業的內網展開攻擊，並從中竊取私密文檔。

具體說來是，LC 黑客使用CVE-2019-3396 漏洞攻擊了Atlassian Confluence、利用CVE-2019-11581 漏洞侵入了Atlassian Jira、以及借助CVE-2012-3152 漏洞攻破了Oracle Fusion 。

已知LC黑客攻擊事件受害者列表（來自：PDF）

一旦獲得了對這些系統的訪問權限，攻擊者就會部署ASPXSpy、Caterpillar 2、Mamad Warning 之類的Web Shell，以及名為JSP 的開源文件瀏覽器（同樣可充當Web Shell）。

接著在目標企業的內部網絡上，攻擊者會部署功能更加強大的Explosive 遠程訪問木馬（RAT），以實施進一步的數據滲透（之前用過的老套路）。

Clearsky 指出，之所以將LC 黑客攻擊事件與真主黨武裝有關，是因為截至目前，這款RAT 工具一直被它們所專門使用。

與此同時，網絡安全研究人員也指出了LC 黑客犯下的某些失誤，比如經常在入侵過程中使用同樣的文件，使得外界可以對該組織的活動軌跡展開更好的追溯。

目前已知的LC 黑客事件受害者，包括了埃及的沃達丰、阿聯酋航空、沙特SaudiNet 電信公司、以及美國的Frontier Communications 等企業。