Lyceum APT

Lyceum और Hexane के नाम हैकर्स के समान Advanced Persistent Threat (APT) समूह के लिए infosec पदनाम हैं। अगस्त 2019 में अपनी गतिविधियों को सतह पर लाने से पहले अपराधी लगभग एक साल तक रडार के नीचे काम करने में कामयाब रहे थे। लिसेयुम एक अत्यधिक विशिष्ट खतरा अभिनेता है जो क्रेडेंशियल संग्रह और डेटा एक्सफ़िल्टरेशन पर ध्यान केंद्रित करता है। उनका लक्ष्य एक विशिष्ट भौगोलिक क्षेत्र में स्थित संगठनों का एक बहुत ही संकीर्ण समूह है - तेल, गैस और दूरसंचार संस्थाएं जो मध्य पूर्व में सक्रिय हैं।

लिसेयुम चयनित शिकार के खिलाफ एक जटिल हमले की श्रृंखला को नियोजित करता है जिसमें कई चरण होते हैं। लक्ष्य के नेटवर्क के भीतर एक पैर जमाने के लिए, हैकर्स ज़हरीले Microsoft Office दस्तावेज़ों को वितरित करने के लिए विभिन्न सामाजिक-इंजीनियरिंग युक्तियों का उपयोग करते हैं। कुछ दस्तावेज़ जो साइबर सुरक्षा शोधकर्ताओं ने लिसेयुम द्वारा उपयोग किए जाने के लिए देखे हैं, उन्हें आकर्षक शीर्षक या उपयोगकर्ता की जिज्ञासा को शांत करने वाले शीर्षक दिए गए हैं, जैसे कि '2017 का सबसे खराब पासवर्ड' या 'शीर्ष दस सुरक्षा अभ्यास'। दूसरी बार, दस्तावेज़ पूरी तरह से अरबी में लिखा गया है, जो इस क्षेत्र पर समूह के निरंतर ध्यान की पुष्टि करता है।

यदि उपयोगकर्ता जहरीली फ़ाइल को निष्पादित करता है, तो यह डैनड्रॉप नामक एक मैलवेयर ड्रॉपर को ट्रिगर करता है, जो हमले के दूसरे चरण में वास्तविक मैलवेयर पेलोड की डिलीवरी के लिए जिम्मेदार है। DanDrop को MS दस्तावेज़ों में VBA मैक्रो के रूप में इंजेक्ट किया जाता है। हमले के समापन बिंदु के लिए, लिसेयुम DanBot नामक रिमोट एक्सेस ट्रोजन (आरएटी) का उपयोग करता है। अपने कमांड-एंड-कंट्रोल (C2, C&C) सर्वरों के साथ संचार करने के लिए, RAT मैलवेयर को DNS और HTTP प्रोटोकॉल दोनों का उपयोग करते हुए देखा जाता है।

समझौता किए गए नेटवर्क के भीतर अपनी पहुंच के दायरे का विस्तार करने के लिए, Lyceum पावरशेल स्क्रिप्ट के रूप में तीन अतिरिक्त उपकरण तैनात कर सकता है - 'kl.ps1' एक कस्टम-बिल्ड कीलॉगर है, ' Get-LAPSP.ps1 ' डेटा एकत्र करने के लिए LDAP का शोषण करता है। सक्रिय निर्देशिका, और ' Decrypt-RDCMan.ps1, ' जिसे RDCMan कॉन्फ़िगरेशन फ़ाइल में संग्रहीत क्रेडेंशियल्स को डिक्रिप्ट करने का काम सौंपा गया है।

हालाँकि उनकी गतिविधियाँ अब तक एक विशिष्ट क्षेत्र तक ही सीमित रही हैं, लिसेयुम के हैकर्स ने एक हमले की श्रृंखला और एक प्रभावी टूलसेट स्थापित किया है, जो उन्हें आसानी से संस्थाओं के एक व्यापक समूह के खिलाफ हमले शुरू करने की अनुमति दे सकता है।