Lyceum APT

Imena Lyceum i Hexane oznake su infosec za istu grupu hakera Advanced Permanent Threat (APT). Kriminalci su uspjeli djelovati pod radarom gotovo godinu dana prije nego što su njihove aktivnosti isplivale na površinu u kolovozu 2019. Licej je visoko specijalizirani akter prijetnje koji se fokusira na prikupljanje vjerodajnica i eksfiltraciju podataka. Ciljaju vrlo usku skupinu organizacija smještenih u određenoj geografskoj regiji - naftne, plinske i telekomunikacijske jedinice koje djeluju na Bliskom istoku.

Licej koristi složeni napadački lanac protiv odabrane žrtve koji se sastoji od više faza. Da bi se utvrdili u ciljnoj mreži, hakeri koriste razne taktike socijalnog inženjeringa za isporuku zatrovanih dokumenata Microsoft Officea. Neki od dokumenata za koje su istraživači kibernetičke sigurnosti primijetili da ih Lyceum koriste dobivaju zamamne naslove ili one koji pobuđuju znatiželju korisnika, poput "Najgore lozinke 2017." ili "Deset najboljih sigurnosnih praksi". Inače je dokument u potpunosti napisan na arapskom jeziku, što potvrđuje kontinuiranu usmjerenost grupe na regiju.

Ako korisnik izvrši otrovanu datoteku, ona pokreće kapaljku zlonamjernog softvera nazvanu DanDrop koja je odgovorna za isporuku stvarnog korisnog tereta malware-a u drugoj fazi napada. DanDrop se ubrizgava u MS dokumente kao VBA makronaredba. Za krajnju točku napada, Lyceum koristi trojanski pristup udaljenom pristupu (RAT) pod imenom DanBot . Za komunikaciju sa svojim poslužiteljima Command-and-Control (C2, C&C), RAT zlonamjerni softver koristi i DNS i HTTP protokole.

Da bi proširio opseg svog dosega unutar ugrožene mreže, Lyceum može primijeniti tri dodatna alata u obliku PowerShell skripti - ' kl.ps1 ' prilagođeni je keylogger, ' Get-LAPSP.ps1 ' koristi LDAP za prikupljanje podataka iz Active Directory i ' Decrypt-RDCMan.ps1 ', koji je zadužen za dešifriranje vjerodajnica pohranjenih u RDCMan konfiguracijskoj datoteci.

Iako su njihove aktivnosti do sada bile ograničene na određenu regiju, hakeri iz Lyceuma uspostavili su lanac napada i učinkovit set alata, koji bi im mogli omogućiti lako pokretanje napada na širi skup entiteta.