مدرسة ليسيوم APT

أسماء Lyceum و Hexane هي تسميات معلوماتية لنفس مجموعة قراصنة التهديد المستمر المتقدم (APT). تمكن المجرمون من العمل تحت الرادار لمدة عام تقريبًا قبل ظهور أنشطتهم على السطح في أغسطس 2019. Lyceum هي جهة تهديد عالية التخصص تركز على جمع بيانات الاعتماد واستخراج البيانات. يستهدفون مجموعة ضيقة جدًا من المؤسسات الموجودة في منطقة جغرافية محددة - كيانات النفط والغاز والاتصالات النشطة في الشرق الأوسط.

توظف مدرسة ليسيوم سلسلة هجوم معقدة ضد الضحية المختارة والتي تتكون من مراحل متعددة. للحصول على موطئ قدم داخل شبكة الهدف ، يستخدم المتسللون العديد من أساليب الهندسة الاجتماعية لتقديم مستندات Microsoft Office المسمومة. بعض الوثائق التي لاحظ باحثو الأمن السيبراني أنها تستخدمها من قبل المدرسة الثانوية تُمنح ألقابًا جذابة أو تلك التي تثير فضول المستخدم ، مثل "أسوأ كلمات المرور لعام 2017" أو "أفضل عشر ممارسات أمنية". وفي أحيان أخرى ، كُتبت الوثيقة باللغة العربية بالكامل ، مما يؤكد استمرار تركيز المجموعة على المنطقة.

إذا نفذ المستخدم الملف التالف ، فإنه يقوم بتشغيل برنامج قطارة للبرامج الضارة يسمى DanDrop ، وهو المسؤول عن تسليم حمولة البرامج الضارة الفعلية في المرحلة الثانية من الهجوم. يتم حقن DanDrop في مستندات MS كماكرو VBA. بالنسبة لنقطة نهاية الهجوم ، تستخدم مدرسة ليسيوم حصان طروادة للوصول عن بعد (RAT) يسمى DanBot . للتواصل مع خوادم الأوامر والتحكم (C2 ، C&C) ، يُنظر إلى البرامج الضارة RAT على أنها تستخدم كلاً من بروتوكولات DNS و HTTP.

لتوسيع نطاق وصولها داخل الشبكة المخترقة ، يمكن لمدرسة Lyceum نشر ثلاث أدوات إضافية في شكل نصوص PowerShell النصية - ' kl.ps1' عبارة عن أداة تسجيل مفاتيح مخصصة للبناء ، وتستغل 'Get-LAPSP.ps1 ' LDAP لجمع البيانات من Active Directory و " Decrypt-RDCMan.ps1 " المكلف بفك تشفير بيانات الاعتماد المخزنة في ملف تكوين RDCMan.

على الرغم من اقتصار أنشطتهم على منطقة معينة حتى الآن ، فقد أنشأ المتسللون من مدرسة ليسيوم سلسلة هجوم ومجموعة أدوات فعالة ، والتي يمكن أن تسمح لهم بسهولة بشن هجمات ضد مجموعة أوسع من الكيانات.