Lyceum APT
Lütseumi ja Hexane'i nimed on sama häkkerite Advanced Persistent Threat (APT) grupi infosek-tähised. Kurjategijad olid suutnud tegutseda radari all peaaegu aasta, enne kui nende tegevus 2019. aasta augustis pinnale toodi. Lütseum on kõrgelt spetsialiseerunud ohutegur, kes keskendub volikirjade kogumisele ja andmete väljafiltrimisele. Nende sihtrühm on väga kitsas organisatsioonide rühm, mis asub ühes konkreetses geograafilises piirkonnas - Lähis-Idas tegutsevad nafta-, gaasi- ja telekommunikatsiooniettevõtted.
Lütseum rakendab valitud ohvri vastu keerukat rünnakuahelat, mis koosneb mitmest etapist. Sihtmärgi võrgus jalgealuse saavutamiseks kasutavad häkkerid mürgitatud Microsoft Office'i dokumentide edastamiseks mitmesuguseid sotsiaaltehnoloogia taktikaid. Mõnele dokumendile, mida küberturvalisuse uurijad on Lütseumi kasutuses täheldanud, antakse ahvatlevad või kasutaja uudishimu tekitavad pealkirjad, näiteks „2017. aasta halvimad paroolid" või „Kümme parimat turvapraktikat". Muul ajal on dokument kirjutatud täielikult araabia keeles, mis kinnitab grupi jätkuvat keskendumist piirkonnale.
Kui kasutaja käivitab mürgitatud faili, käivitab see pahavara tilguti nimega DanDrop , mis vastutab rünnaku teises etapis tegeliku pahavara kasuliku koormuse edastamise eest. DanDrop süstitakse MS dokumentidesse VBA makrona. Rünnaku lõpp-punkti jaoks kasutab Lütseum kaugjuurdepääsu Trooja (RAT) nime DanBot . Oma Command-and-Control (C2, C&C) serveritega suhtlemiseks näib RAT pahavara kasutavat nii DNS-i kui ka HTTP-protokolle.
Oma leviala laiendamiseks ohustatud võrgus saab Lyceum juurutada kolm täiendavat tööriista PowerShelli skriptide kujul - ' kl.ps1 ' on kohandatud ehituse klahviloger, ' Get-LAPSP.ps1 ' kasutab LDAP - i andmete kogumiseks Active Directory ja ' Decrypt-RDCMan.ps1 ', mille ülesandeks on dešifreerida RDCMani konfiguratsioonifaili salvestatud mandaadid.
Ehkki nende tegevus on seni piirdunud kindla piirkonnaga, on lütseumi häkkerid loonud rünnakute ahela ja tõhusa tööriistakomplekti, mis võimaldaks neil hõlpsalt rünnakuid laiema üksuste vastu välja tuua.
