Lyceum APT
Lyceumin ja Hexanen nimet ovat infosec-nimityksiä samalle hakkereiden Advanced Persistent Threat (APT) -ryhmälle. Rikolliset olivat onnistuneet toimimaan tutkan alla melkein vuoden ajan, ennen kuin heidän toimintansa tuotiin pinnalle elokuussa 2019. Lyceum on pitkälle erikoistunut uhkatekijä, joka keskittyy valtakirjojen keräämiseen ja tietojen suodattamiseen. Niiden kohteena on hyvin kapea organisaatioryhmä, jotka sijaitsevat yhdellä tietyllä maantieteellisellä alueella - Lähi-idässä toimivat öljy-, kaasu- ja televiestintäyksiköt.
Lyceumilla on monimutkainen hyökkäysketju valittua uhria vastaan, joka koostuu useista vaiheista. Hakkerit saadakseen jalansijaa kohteen verkostossa hakkerit käyttävät erilaisia sosiaalisen suunnittelun taktiikoita myrkytettyjen Microsoft Office -asiakirjojen toimittamiseen. Joillekin asiakirjoista, joita kyberturvallisuuden tutkijat ovat havainneet käyttävän Lyceumissa, annetaan houkuttelevat otsikot tai käyttäjän uteliaisuutta herättävät otsikot, kuten '' Pahimmat salasanat vuodelta 2017 '' tai '' Kymmenen parasta turvallisuuskäytäntöä ''. Muina aikoina asiakirja on kirjoitettu kokonaan arabiaksi, mikä vahvistaa ryhmän jatkuvan keskittymisen alueeseen.
Jos käyttäjä suorittaa myrkytetyn tiedoston, se laukaisee haittaohjelmien pudotuksen nimeltä DanDrop , joka on vastuussa todellisen haittaohjelman hyötykuorman toimittamisesta hyökkäyksen toisessa vaiheessa. DanDrop injektoidaan MS-asiakirjoihin VBA-makrona. Hyökkäyksen päätepisteeksi Lyceum käyttää etäkäyttötroijalaista (RAT) nimeltä DanBot . RAT-haittaohjelmien nähdään kommunikoivan Command-and-Control (C2, C&C) -palvelimiensa kanssa käyttävän sekä DNS- että HTTP-protokollia.
Laajentaakseen kattavuuttaan vaarantuneessa verkossa, Lyceum voi ottaa käyttöön kolme uutta työkalua PowerShell-komentosarjojen muodossa - ' kl.ps1 ' on mukautetun rakennuksen näppäimistö, Get-LAPSP.ps1 hyödyntää LDAP: tä tietojen keräämiseksi Active Directory ja ' Decrypt-RDCMan.ps1 ', joiden tehtävänä on purkaa RDCMan-määritystiedostoon tallennetut tunnistetiedot.
Vaikka heidän toimintansa on toistaiseksi rajoittunut tietylle alueelle, lyceumilaiset hakkerit ovat perustaneet hyökkäysketjun ja tehokkaan työkalupaketin, jonka avulla he voivat helposti käynnistää hyökkäyksiä laajempaa kokonaisuutta vastaan.
