Лицей APT

Имената на Lyceum и Hexane са обозначения на infosec за една и съща група хакери за Advanced Persistent Threat (APT). Престъпниците са успели да действат под радара в продължение на почти година, преди дейността им да бъде извадена на повърхността през август 2019 г. Lyceum е високоспециализиран заплах, който се фокусира върху събирането на идентификационни данни и ексфилтрацията на данни. Те са насочени към много тясна група организации, разположени в един конкретен географски регион - петролни, газови и телекомуникационни предприятия, които са активни в Близкия изток.

Lyceum използва сложна верига за атака срещу избраната жертва, която се състои от няколко етапа. За да се закрепят в мрежата на целта, хакерите използват различни тактики за социално инженерство, за да доставят отровени документи на Microsoft Office. Някои от документите, които изследователите на киберсигурността са забелязали, че се използват от Lyceum, имат примамливи заглавия или такива, които предизвикват любопитството на потребителя, като например „Най-лошите пароли за 2017 г.“ или „Десетте най-добри практики за сигурност“. Друг път документът е написан изцяло на арабски, потвърждавайки продължаващия фокус на групата върху региона.

Ако потребителят изпълни отровения файл, той задейства дроппер за злонамерен софтуер, наречен DanDrop, който е отговорен за доставката на действителния полезен софтуер на зловреден софтуер във втория етап на атаката. DanDrop се инжектира в MS документите като VBA макрос. За крайната точка на атаката Lyceum използва троянски кон за отдалечен достъп (RAT) на име DanBot . За да комуникира със своите сървъри за командване и управление (C2, C&C), се вижда, че зловредният софтуер RAT използва както DNS, така и HTTP протоколите.

За да разшири обхвата на своя обхват в рамките на компрометираната мрежа, Lyceum може да разгърне три допълнителни инструмента под формата на скриптове на PowerShell - ' kl.ps1 ' е персонализиран кейлогер, ' Get-LAPSP.ps1 ' използва LDAP за събиране на данни от Active Directory и „ Decrypt-RDCMan.ps1 “, който има задачата да декриптира идентификационни данни, съхранени в конфигурационния файл RDCMan.

Въпреки че досега дейността им е била ограничена до конкретен регион, хакерите от Lyceum са създали верига за атака и ефективен набор от инструменти, които биха могли да им позволят лесно да стартират атаки срещу по-широк набор от субекти.