Lyceum APT

Jména lycea a hexanu jsou infosec označení pro stejnou skupinu hackerů Advanced Persistent Threat (APT). Zločincům se podařilo operovat pod radarem téměř rok, než byly jejich aktivity vyneseny na povrch v srpnu 2019. Lyceum je vysoce specializovaným aktérem hrozeb, který se zaměřuje na sběr pověření a exfiltraci dat. Jejich cílem je velmi úzká skupina organizací umístěných v jedné konkrétní geografické oblasti - ropa, plyn a telekomunikační subjekty, které působí na Středním východě.

Lyceum zaměstnává komplexní řetězec útoků proti vybrané oběti, který se skládá z několika fází. Aby se hackeři uchytili v síti cíle, používají různé taktiky sociálního inženýrství k doručování otrávených dokumentů Microsoft Office. Některé z dokumentů, které badatelé v oblasti kybernetické bezpečnosti zjistili, že jsou používány Lyceem, dostávají lákavé tituly nebo tituly, které vzbuzují zvědavost uživatele, například „Nejhorší hesla roku 2017" nebo „Deset nejlepších bezpečnostních postupů". Jindy je dokument napsán zcela v arabštině, což potvrzuje pokračující zaměření skupiny na region.

Pokud uživatel provede otrávený soubor, spustí kapátko malwaru s názvem DanDrop , které je zodpovědné za doručení skutečného užitečného obsahu malwaru ve druhé fázi útoku. DanDrop je vložen do dokumentů MS jako makro VBA. Jako koncový bod útoku používá Lyceum trojského koně vzdáleného přístupu (RAT) s názvem DanBot . Při komunikaci se svými servery Command-and-Control (C2, C&C) se zdá, že malware RAT používá protokoly DNS i HTTP.

Aby rozšířil rozsah svého dosahu v rámci ohrožené sítě, může Lyceum nasadit tři další nástroje ve formě skriptů PowerShell - „ kl.ps1 " je custom-build keylogger, „ Get-LAPSP.ps1 " využívá LDAP ke sběru dat z Active Directory a „ Decrypt-RDCMan.ps1 ", jehož úkolem je dešifrovat přihlašovací údaje uložené v konfiguračním souboru RDCMan.

Ačkoli se jejich aktivity dosud omezovaly na konkrétní region, hackeři z Lycea vytvořili řetězec útoků a účinnou sadu nástrojů, které jim umožnily snadno zahájit útoky proti širšímu souboru entit.

Trendy

Nejvíce shlédnuto

Načítání...