Liceu APT

Els noms de Lyceum i Hexane són designacions d'infosec per al mateix grup de pirates informàtics Advanced Persistent Threat (APT). Els delinqüents havien aconseguit operar sota el radar durant gairebé un any abans que les seves activitats sortissin a la superfície l'agost de 2019. Lyceum és un actor d'amenaces altament especialitzat que se centra en la recollida de credencials i l'exfiltració de dades. El seu objectiu és un grup molt reduït d'organitzacions ubicades en una regió geogràfica específica: entitats de petroli, gas i telecomunicacions que estan actives a l'Orient Mitjà.

Lyceum utilitza una cadena d'atac complexa contra la víctima seleccionada que consta de múltiples etapes. Per aconseguir un lloc dins de la xarxa de l'objectiu, els pirates informàtics utilitzen diverses tàctiques d'enginyeria social per lliurar documents enverinats de Microsoft Office. Alguns dels documents que els investigadors de ciberseguretat han observat que utilitza Lyceum reben títols atractius o que despertan la curiositat de l'usuari, com ara "Les pitjors contrasenyes del 2017" o "Les deu millors pràctiques de seguretat". En altres ocasions, el document està escrit íntegrament en àrab, confirmant l'atenció continuada del grup a la regió.

Si l'usuari executa el fitxer enverinat, activa un compte de programari maliciós anomenat DanDrop , que és responsable del lliurament de la càrrega útil real del programari maliciós a la segona etapa de l'atac. DanDrop s'injecta als documents MS com una macro VBA. Per al punt final de l'atac, Lyceum utilitza un troià d'accés remot (RAT) anomenat DanBot . Per comunicar-se amb els seus servidors de comandament i control (C2, C&C), es veu que el programari maliciós RAT utilitza els protocols DNS i HTTP.

Per ampliar l'abast del seu abast dins de la xarxa compromesa, Lyceum pot desplegar tres eines addicionals en forma d'scripts de PowerShell: " kl.ps1 " és un keylogger personalitzat, " Get-LAPSP.ps1 " aprofita LDAP per recollir dades de Active Directory i " Decrypt-RDCMan.ps1 ", que té la tasca de desxifrar les credencials emmagatzemades al fitxer de configuració de RDCMan.

Tot i que fins ara les seves activitats s'han limitat a una regió específica, els pirates informàtics de Lyceum han establert una cadena d'atac i un conjunt d'eines eficaços, que els podria permetre llançar atacs fàcilment contra un conjunt més ampli d'entitats.

Tendència

Més vist

Carregant...