Licejs APT

Lyceum un Hexane nosaukumi ir infosec apzīmējumi tai pašai Advanced Persistent Threat (APT) hakeru grupai. Noziedznieki bija paspējuši darboties zem radara gandrīz gadu, pirms viņu darbības tika atklātas 2019. gada augustā. Licejs ir ļoti specializēts apdraudējums, kas koncentrējas uz akreditācijas datu vākšanu un datu izspiešanu. Viņu mērķauditorija ir ļoti šaura organizāciju grupa, kas atrodas vienā noteiktā ģeogrāfiskajā reģionā – naftas, gāzes un telekomunikāciju uzņēmumi, kas darbojas Tuvajos Austrumos.

Licejā pret izvēlēto upuri tiek izmantota sarežģīta uzbrukuma ķēde, kas sastāv no vairākiem posmiem. Lai iegūtu stabilu vietu mērķa tīklā, hakeri izmanto dažādas sociālās inženierijas taktikas, lai piegādātu saindētus Microsoft Office dokumentus. Dažiem dokumentiem, ko Lyceum izmanto kiberdrošības pētnieki, ir piešķirti vilinoši nosaukumi vai tādi, kas izraisa lietotāja zinātkāri, piemēram, “2017. gada sliktākās paroles” vai “Desmit populārākās drošības prakses”. Citreiz dokuments ir pilnībā uzrakstīts arābu valodā, apstiprinot, ka grupa turpina koncentrēties uz reģionu.

Ja lietotājs izpilda saindēto failu, tas iedarbina ļaunprātīgas programmatūras pilinātāju ar nosaukumu DanDrop , kas ir atbildīgs par faktiskās ļaunprātīgās programmatūras slodzes piegādi uzbrukuma otrajā posmā. DanDrop tiek ievadīts MS dokumentos kā VBA makro. Uzbrukuma galapunktam Lyceum izmanto attālās piekļuves Trojas zirgu (RAT) ar nosaukumu DanBot . Lai sazinātos ar saviem Command-and-Control (C2, C&C) serveriem, RAT ļaunprātīgā programmatūra izmanto gan DNS, gan HTTP protokolus.

Lai paplašinātu savu sasniedzamību apdraudētajā tīklā, Lyceum var izvietot trīs papildu rīkus PowerShell skriptu veidā — ' kl.ps1 ' ir pielāgotas veidošanas taustiņu reģistrators, 'Get-LAPSP.ps1 ' izmanto LDAP, lai vāktu datus no Active Directory un ' Decrypt-RDCMan.ps1 ', kura uzdevums ir atšifrēt RDCMan konfigurācijas failā saglabātos akreditācijas datus.

Lai gan viņu darbības līdz šim ir bijušas ierobežotas ar noteiktu reģionu, hakeri no Lyceum ir izveidojuši uzbrukuma ķēdi un efektīvu rīku komplektu, kas ļautu viņiem viegli uzsākt uzbrukumus plašākam vienību lokam.

Tendences

Visvairāk skatīts

Notiek ielāde...