Lyceum APT

Lyceum og Hexanes navne er infosec-betegnelser for den samme gruppe af hackere med avanceret vedvarende trussel (APT). Kriminelle havde formået at operere under radaren i næsten et år, før deres aktiviteter blev bragt til overfladen i august 2019. Lyceum er en højt specialiseret trusselsaktør, der fokuserer på legitimationsindsamling og dataeksfiltrering. Deres mål er en meget snæver gruppe af organisationer beliggende i en bestemt geografisk region - olie-, gas- og telekommunikationsenheder, der er aktive i Mellemøsten.

Lyceum anvender en kompleks angrebskæde mod det valgte offer, der består af flere faser. For at få fodfæste inden for målets netværk bruger hackerne forskellige socialtekniske taktikker til at levere forgiftede Microsoft Office-dokumenter. Nogle af de dokumenter, som cybersikkerhedsforskere har observeret at blive brugt af Lyceum, får fristende titler eller dem, der vækker brugerens nysgerrighed, såsom 'The Worst Passwords of 2017' eller 'Top Ten Security Practices'. Andre gange er dokumentet skrevet på arabisk og bekræfter gruppens fortsatte fokus på regionen.

Hvis brugeren udfører den forgiftede fil, udløser den en malware-dropper kaldet DanDrop , som er ansvarlig for leveringen af den faktiske malware-nyttelast i anden fase af angrebet. DanDrop injiceres i MS-dokumenterne som en VBA-makro. Til slutpunktet for angrebet bruger Lyceum en Remote Access Trojan (RAT) ved navn DanBot . For at kommunikere med sine Command-and-Control (C2, C&C) servere ses RAT-malware at bruge både DNS- og HTTP-protokoller.

For at udvide rækkevidden af rækkevidden inden for det kompromitterede netværk kan Lyceum implementere tre ekstra værktøjer i form af PowerShell-scripts - ' kl.ps1 ' er en specialbygget keylogger, ' Get-LAPSP.ps1 ' udnytter LDAP til at indsamle data fra Active Directory og ' Decrypt-RDCMan.ps1 ', som har til opgave at dekryptere legitimationsoplysninger, der er gemt i RDCMan-konfigurationsfilen.

Selvom deres aktiviteter hidtil har været begrænset til en bestemt region, har hackerne fra Lyceum etableret en angrebskæde og et effektivt værktøjssæt, der let kan give dem mulighed for at starte angreb mod et bredere sæt enheder.

Trending

Mest sete

Indlæser...