لیسیوم APT
نامهای Lyceum و Hexane نامهای infosec برای همان گروه هکرهای Advanced Persistent Threat (APT) هستند. مجرمان تقریباً یک سال قبل از اینکه فعالیتهایشان در آگوست 2019 آشکار شود، توانسته بودند تحت رادار عمل کنند. لیسیوم یک بازیگر تهدید بسیار تخصصی است که بر جمعآوری اعتبار و استخراج دادهها تمرکز دارد. آنها گروه بسیار محدودی از سازمانها را هدف قرار میدهند که در یک منطقه جغرافیایی خاص - نفت، گاز و شرکتهای مخابراتی فعال در خاورمیانه فعال هستند.
لیسیوم از یک زنجیره حمله پیچیده علیه قربانی انتخاب شده استفاده می کند که از چند مرحله تشکیل شده است. برای به دست آوردن جای پایی در شبکه هدف، هکرها از تاکتیک های مختلف مهندسی اجتماعی برای تحویل اسناد مسموم مایکروسافت آفیس استفاده می کنند. برخی از اسنادی که محققان امنیت سایبری مشاهده کردهاند که توسط Lyceum استفاده میشوند، عناوین فریبنده یا مواردی هستند که کنجکاوی کاربر را برمیانگیزد، مانند "بدترین رمزهای عبور سال 2017" یا "ده روش برتر امنیتی". در موارد دیگر، این سند به طور کامل به زبان عربی نوشته شده است و تمرکز گروه بر منطقه را تایید می کند.
اگر کاربر فایل مسموم را اجرا کند، یک نرم افزار مخرب به نام DanDrop را راه اندازی می کند که مسئول تحویل بار واقعی بدافزار در مرحله دوم حمله است. DanDrop به عنوان یک ماکرو VBA به اسناد MS تزریق می شود. برای نقطه پایانی حمله، Lyceum از یک تروجان دسترسی از راه دور (RAT) به نام DanBot استفاده می کند . برای برقراری ارتباط با سرورهای Command-and-Control (C2, C&C)، بدافزار RAT از پروتکلهای DNS و HTTP استفاده میکند.
برای گسترش دامنه دسترسی خود در شبکه آسیبدیده ، Lyceum میتواند سه ابزار اضافی را در قالب اسکریپتهای PowerShell به کار گیرد - « kl.ps1» یک کیلاگر سفارشی است، « Get-LAPSP.ps1 » از LDAP برای جمعآوری دادهها از Active Directory و ' Decrypt-RDCMan.ps1 ' که وظیفه رمزگشایی اعتبارنامه های ذخیره شده در فایل پیکربندی RDCMan را بر عهده دارد.
اگرچه فعالیتهای آنها تاکنون محدود به یک منطقه خاص بوده است، هکرهای Lyceum یک زنجیره حمله و یک مجموعه ابزار مؤثر ایجاد کردهاند که میتواند به آنها اجازه دهد به راحتی حملات خود را علیه مجموعه گستردهتری از موجودیتها انجام دهند.