Lyceum APT

I nomi di Lyceum ed Hexane sono designazioni infosec per lo stesso gruppo di hacker APT (Advanced Persistent Threat). I criminali erano riusciti a operare sotto il radar per quasi un anno prima che le loro attività venissero portate in superficie nell'agosto 2019. Lyceum è un attore di minacce altamente specializzato che si concentra sulla raccolta di credenziali e sull'esfiltrazione di dati. Il loro obiettivo è un gruppo molto ristretto di organizzazioni situate in una specifica regione geografica: entità di petrolio, gas e telecomunicazioni attive in Medio Oriente.

Il Lyceum impiega una complessa catena di attacchi contro la vittima selezionata che consiste in più fasi. Per ottenere un punto d'appoggio all'interno della rete del bersaglio, gli hacker utilizzano varie tattiche di ingegneria sociale per fornire documenti di Microsoft Office avvelenati. Ad alcuni dei documenti che i ricercatori di sicurezza informatica hanno osservato essere utilizzati da Lyceum vengono assegnati titoli allettanti o che stuzzicano la curiosità dell'utente, come "Le peggiori password del 2017" o "Le dieci migliori pratiche di sicurezza". Altre volte, il documento è scritto interamente in arabo, a conferma della continua attenzione del gruppo alla regione.

Se l'utente esegue il file avvelenato, attiva un contagocce di malware chiamato DanDrop , che è responsabile della consegna del payload effettivo del malware nella seconda fase dell'attacco. DanDrop viene inserito nei documenti MS come macro VBA. Per l'endpoint dell'attacco, Lyceum utilizza un Trojan di accesso remoto (RAT) denominato DanBot . Per comunicare con i suoi server Command-and-Control (C2, C&C), il malware RAT utilizza entrambi i protocolli DNS e HTTP.

Per espandere l'ambito della sua portata all'interno della rete compromessa, Lyceum può distribuire tre strumenti aggiuntivi sotto forma di script PowerShell: " kl.ps1 " è un keylogger personalizzato, " Get-LAPSP.ps1 " sfrutta LDAP per raccogliere dati da Active Directory e " Decrypt-RDCMan.ps1 " , che ha il compito di decrittografare le credenziali archiviate nel file di configurazione RDCMan.

Sebbene le loro attività siano state finora limitate a una regione specifica, gli hacker del Lyceum hanno stabilito una catena di attacchi e un set di strumenti efficace, che potrebbe consentire loro di lanciare facilmente attacchi contro un insieme più ampio di entità.