لیسیوم APT

نام‌های Lyceum و Hexane نام‌های infosec برای همان گروه هکرهای Advanced Persistent Threat (APT) هستند. مجرمان تقریباً یک سال قبل از اینکه فعالیت‌هایشان در آگوست 2019 آشکار شود، توانسته بودند تحت رادار عمل کنند. لیسیوم یک بازیگر تهدید بسیار تخصصی است که بر جمع‌آوری اعتبار و استخراج داده‌ها تمرکز دارد. آنها گروه بسیار محدودی از سازمان‌ها را هدف قرار می‌دهند که در یک منطقه جغرافیایی خاص - نفت، گاز و شرکت‌های مخابراتی فعال در خاورمیانه فعال هستند.

لیسیوم از یک زنجیره حمله پیچیده علیه قربانی انتخاب شده استفاده می کند که از چند مرحله تشکیل شده است. برای به دست آوردن جای پایی در شبکه هدف، هکرها از تاکتیک های مختلف مهندسی اجتماعی برای تحویل اسناد مسموم مایکروسافت آفیس استفاده می کنند. برخی از اسنادی که محققان امنیت سایبری مشاهده کرده‌اند که توسط Lyceum استفاده می‌شوند، عناوین فریبنده یا مواردی هستند که کنجکاوی کاربر را برمی‌انگیزد، مانند "بدترین رمزهای عبور سال 2017" یا "ده روش برتر امنیتی". در موارد دیگر، این سند به طور کامل به زبان عربی نوشته شده است و تمرکز گروه بر منطقه را تایید می کند.

اگر کاربر فایل مسموم را اجرا کند، یک نرم افزار مخرب به نام DanDrop را راه اندازی می کند که مسئول تحویل بار واقعی بدافزار در مرحله دوم حمله است. DanDrop به عنوان یک ماکرو VBA به اسناد MS تزریق می شود. برای نقطه پایانی حمله، Lyceum از یک تروجان دسترسی از راه دور (RAT) به نام DanBot استفاده می کند . برای برقراری ارتباط با سرورهای Command-and-Control (C2, C&C)، بدافزار RAT از پروتکل‌های DNS و HTTP استفاده می‌کند.

برای گسترش دامنه دسترسی خود در شبکه آسیب‌دیده ، Lyceum می‌تواند سه ابزار اضافی را در قالب اسکریپت‌های PowerShell به کار گیرد - « kl.ps1» یک کی‌لاگر سفارشی است، « Get-LAPSP.ps1 » از LDAP برای جمع‌آوری داده‌ها از Active Directory و ' Decrypt-RDCMan.ps1 ' که وظیفه رمزگشایی اعتبارنامه های ذخیره شده در فایل پیکربندی RDCMan را بر عهده دارد.

اگرچه فعالیت‌های آن‌ها تاکنون محدود به یک منطقه خاص بوده است، هکرهای Lyceum یک زنجیره حمله و یک مجموعه ابزار مؤثر ایجاد کرده‌اند که می‌تواند به آنها اجازه دهد به راحتی حملات خود را علیه مجموعه گسترده‌تری از موجودیت‌ها انجام دهند.

پرطرفدار

پربیننده ترین

بارگذاری...