라이시엄 아파트

Lyceum과 Hexane의 이름은 동일한 APT(Advanced Persistent Threat) 해커 그룹에 대한 infosec 지정입니다. 범죄자들은 2019년 8월 그들의 활동이 표면화되기 전까지 거의 1년 동안 레이더 아래에서 활동했습니다. Lyceum은 자격 증명 수집 및 데이터 유출에 중점을 둔 고도로 전문화된 위협 행위자입니다. 그들의 표적은 중동에서 활동하는 석유, 가스 및 통신 기업과 같은 특정 지리적 지역에 위치한 매우 좁은 조직 그룹입니다.

Lyceum은 선택된 피해자에 대해 여러 단계로 구성된 복잡한 공격 체인을 사용합니다. 해커는 표적 네트워크 내에서 발판을 마련하기 위해 다양한 사회 공학 전술을 사용하여 중독된 Microsoft Office 문서를 전달합니다. 사이버 보안 연구원들이 Lyceum에서 사용하는 것으로 관찰한 일부 문서에는 '2017년 최악의 암호' 또는 '상위 10가지 보안 관행'과 같이 유혹적인 제목이나 사용자의 호기심을 자극하는 제목이 지정되었습니다. 다른 경우에는 문서 전체가 아랍어로 작성되어 이 지역에 대한 그룹의 지속적인 관심을 확인합니다.

사용자가 중독된 파일을 실행하면 DanDrop 이라는 악성코드 드롭퍼를 실행하여 공격의 두 번째 단계에서 실제 악성코드 페이로드를 전달합니다. DanDrop은 VBA 매크로로 MS 문서에 삽입됩니다. 공격의 끝점에 대해 Lyceum은 DanBot 이라는 RAT(원격 액세스 트로이 목마)를 사용합니다 . 명령 및 제어(C2, C&C) 서버와 통신하기 위해 RAT 악성코드는 DNS 및 HTTP 프로토콜을 모두 사용하는 것으로 보입니다.

손상된 네트워크 내에서 도달 범위를 확장하기 위해 Lyceum은 PowerShell 스크립트의 형태로 세 가지 추가 도구를 배포할 수 있습니다. ' kl.ps1 '은 맞춤형 빌드 키로거이고 ' Get-LAPSP.ps1 '은 Active Directory 및 ' Decrypt-RDCMan.ps1 '은 RDCMan 구성 파일에 저장된 자격 증명을 해독하는 작업을 수행합니다.

지금까지는 그들의 활동이 특정 지역에 국한되어 있었지만, Lyceum의 해커는 공격 체인과 효과적인 도구 집합을 구축하여 더 광범위한 개체 집합에 대한 공격을 쉽게 시작할 수 있습니다.