Licėjus APT

„Lyceum“ ir „Hexane“ pavadinimai yra „infosec“ pavadinimai, skirti tai pačiai „Advanced Persistent Threat“ (APT) įsilaužėlių grupei. Nusikaltėliai spėjo veikti po radaru beveik metus, kol jų veikla buvo iškelta į paviršių 2019 m. rugpjūtį. Licėjus yra labai specializuotas grėsmių veikėjas, kurio pagrindinis dėmesys skiriamas kredencialų rinkimui ir duomenų išfiltravimui. Jų taikinys yra labai siaura organizacijų grupė, įsikūrusi viename konkrečiame geografiniame regione – naftos, dujų ir telekomunikacijų subjektai, kurie veikia Artimuosiuose Rytuose.

Licėjus naudoja sudėtingą puolimo grandinę prieš pasirinktą auką, susidedančią iš kelių etapų. Siekdami įsitvirtinti taikinio tinkle, įsilaužėliai naudoja įvairias socialines inžinerijos taktikas, kad pristatytų užnuodytus „Microsoft Office“ dokumentus. Kai kurie dokumentai, kuriuos kibernetinio saugumo tyrinėtojai pastebėjo kaip naudojamą „Lyceum“, turi viliojančius pavadinimus arba tokius, kurie sužadina vartotojo smalsumą, pavyzdžiui, „Blogiausi 2017 m. slaptažodžiai“ arba „Dešimt geriausių saugumo praktikų“. Kitais atvejais dokumentas yra parašytas tik arabų kalba, patvirtinantis grupės nuolatinį dėmesį regionui.

Jei vartotojas vykdo užnuodytą failą, jis suaktyvina kenkėjiškų programų lašintuvą, vadinamą DanDrop , kuris yra atsakingas už tikrosios kenkėjiškos programos naudingosios apkrovos pristatymą antrajame atakos etape. DanDrop įvedamas į MS dokumentus kaip VBA makrokomandą. Atakos galutiniam taškui „Lyceum“ naudoja nuotolinės prieigos Trojos arklys (RAT), pavadintas „ DanBot“ . Kad galėtų susisiekti su savo komandų ir valdymo (C2, C&C) serveriais, RAT kenkėjiška programa naudoja ir DNS, ir HTTP protokolus.

Siekdamas išplėsti savo pasiekiamumą pažeistame tinkle, „Lyceum“ gali įdiegti tris papildomus įrankius „PowerShell“ scenarijų pavidalu – „ kl.ps1 “ yra pagal užsakymą kuriamas klavišų kaupiklis, „Get-LAPSP.ps1 “ naudoja LDAP, kad rinktų duomenis iš „Active Directory“ ir „ Decrypt-RDCMan.ps1 “, kuriai pavesta iššifruoti kredencialus, saugomus RDCMan konfigūracijos faile.

Nors iki šiol jų veikla buvo apribota konkrečiame regione, įsilaužėliai iš Licėjaus sukūrė atakų grandinę ir veiksmingą įrankių rinkinį, kuris leistų jiems lengvai pradėti atakas prieš platesnį subjektų rinkinį.