Lyceum APT

השמות של Lyceum ו-Hexane הם כינויי מידע לאותה קבוצת האקרים מתמשכת מתקדמת (APT). הפושעים הספיקו לפעול מתחת לרדאר במשך כמעט שנה לפני שפעילותם עלתה על פני השטח באוגוסט 2019. Lyceum הוא שחקן איומים מיוחד מאוד המתמקד באיסוף אישורים וחילוץ נתונים. הם מכוונים לקבוצה מאוד צרה של ארגונים הממוקמים באזור גיאוגרפי אחד ספציפי - גופי נפט, גז וטלקומוניקציה הפעילים במזרח התיכון.

Lyceum מפעילה שרשרת תקיפה מורכבת נגד הקורבן שנבחר המורכבת ממספר שלבים. כדי להשיג דריסת רגל ברשת היעד, ההאקרים משתמשים בטקטיקות שונות של הנדסה חברתית כדי לספק מסמכי Microsoft Office מורעלים. לחלק מהמסמכים שחקרי אבטחת סייבר צפו בשימוש על ידי Lyceum מקבלים כותרות מפתות או כאלה שמעוררות את סקרנותו של המשתמש, כמו 'הסיסמאות הגרועות של 2017' או 'עשרת שיטות האבטחה המובילות'. פעמים אחרות, המסמך כתוב בערבית כולו, המאשר את המשך ההתמקדות של הקבוצה באזור.

אם המשתמש מבצע את הקובץ המורעל, הוא מפעיל מטפטפת תוכנות זדוניות בשם DanDrop, אשר אחראית על אספקת מטען הזדוניות בפועל בשלב השני של המתקפה. DanDrop מוזרק למסמכי MS כמאקרו VBA. עבור נקודת הסיום של המתקפה, Lyceum משתמש בטרויאני גישה מרחוק (RAT) בשם DanBot. כדי לתקשר עם שרתי ה-Command-and-Control (C2, C&C) שלו, נראה כי התוכנה הזדונית RAT משתמשת גם בפרוטוקולי DNS וגם ב-HTTP.

כדי להרחיב את היקף טווח ההגעה שלו בתוך הרשת שנפרצה, Lyceum יכולה לפרוס שלושה כלים נוספים בצורה של סקריפטים של PowerShell - ' kl.ps1 ' הוא יוצר keylogger בהתאמה אישית, ' Get-LAPSP.ps1 ' מנצל את LDAP כדי לאסוף נתונים מ- Active Directory, ו- ' Decrypt-RDCMan.ps1 ', שמשימה זו היא לפענח אישורים המאוחסנים בקובץ התצורה של RDCMan.

למרות שפעילותם הייתה מוגבלת לאזור מסוים עד כה, ההאקרים מ-Lyceum הקימו שרשרת תקיפה וערכת כלים יעילה, שיוכלו לאפשר להם לשגר בקלות התקפות נגד קבוצה רחבה יותר של ישויות.