Lyceum APT
A Lyceum és a Hexane neve ugyanannak az Advanced Persistent Threat (APT) hackercsoportnak az infosec megjelölése. A bûnözõknek csaknem egy évig sikerült a radar alatt tevékenykedniük, mielõtt tevékenységüket 2019 augusztusában felszínre hozták. A Lyceum egy rendkívül specializálódott fenyegetettség, amely a hitelesítési adatok gyûjtésére és az adatok kiszûrésére összpontosít. Céljuk egy meghatározott földrajzi régióban található szervezetek igen szűk csoportja – a Közel-Keleten aktív olaj-, gáz- és távközlési entitások.
A Lyceum egy összetett támadási láncot alkalmaz a kiválasztott áldozat ellen, amely több szakaszból áll. Hogy megvegyék a lábukat a célpont hálózatában, a hackerek különféle társadalomfejlesztési taktikákat alkalmaznak, hogy megmérgezett Microsoft Office dokumentumokat kézbesítsenek. A kiberbiztonsággal foglalkozó kutatók által a Lyceum által használt dokumentumok némelyike csábító vagy a felhasználó kíváncsiságát felkeltő címeket kapott, például „2017 legrosszabb jelszavai” vagy „A tíz legjobb biztonsági gyakorlat”. Más esetekben a dokumentum teljes egészében arabul íródott, megerősítve, hogy a csoport továbbra is a régióra összpontosít.
Ha a felhasználó végrehajtja a megmérgezett fájlt, az elindít egy DanDrop nevű malware droppert, amely a támadás második szakaszában felelős a kártevő tényleges rakományának kézbesítéséért. A DanDrop VBA-makróként kerül az MS dokumentumokba. A támadás végpontjaként a Lyceum egy DanBot nevű távelérési trójai programot (RAT) használ. A Command-and-Control (C2, C&C) szervereivel való kommunikációhoz a RAT rosszindulatú program a DNS és a HTTP protokollokat is használja.
A kompromittált hálózaton belüli elérési körének kiterjesztése érdekében a Lyceum három további eszközt is telepíthet PowerShell-szkriptek formájában – a „ kl.ps1 ” egy egyedi felépítésű kulcsnaplózó, a „Get-LAPSP.ps1 ” pedig az LDAP-t használja ki adatok gyűjtésére Active Directory és a „ Decrypt-RDCMan.ps1 ”, amelynek feladata az RDCMan konfigurációs fájlban tárolt hitelesítő adatok visszafejtése.
Bár tevékenységük eddig egy meghatározott régióra korlátozódott, a Lyceum hackerei támadási láncot és hatékony eszköztárat hoztak létre, amellyel könnyedén indíthatnak támadásokat entitások szélesebb köre ellen.
