Lyceum APT

Nama Lyceum dan Hexane ialah sebutan infosec untuk kumpulan penggodam Advanced Persistent Threat (APT) yang sama. Penjenayah itu telah berjaya beroperasi di bawah radar selama hampir setahun sebelum aktiviti mereka diketengahkan pada Ogos 2019. Lyceum ialah pelakon ancaman yang sangat khusus yang menumpukan pada pengumpulan bukti kelayakan dan penyingkiran data. Mereka menyasarkan kumpulan organisasi yang sangat sempit yang terletak di satu wilayah geografi tertentu - entiti minyak, gas dan telekomunikasi yang aktif di Timur Tengah.

Lyceum menggunakan rantaian serangan yang kompleks terhadap mangsa terpilih yang terdiri daripada pelbagai peringkat. Untuk bertapak dalam rangkaian sasaran, penggodam menggunakan pelbagai taktik kejuruteraan sosial untuk menghantar dokumen Microsoft Office yang beracun. Beberapa dokumen yang penyelidik keselamatan siber perhatikan untuk digunakan oleh Lyceum diberi tajuk yang menarik atau yang menimbulkan rasa ingin tahu pengguna, seperti 'Kata Laluan Terburuk 2017' atau 'Sepuluh Amalan Keselamatan Teratas.' Pada masa lain, dokumen itu ditulis dalam bahasa Arab sepenuhnya, mengesahkan tumpuan berterusan kumpulan itu di rantau ini.

Jika pengguna melaksanakan fail beracun, ia mencetuskan penitis perisian hasad yang dipanggil DanDrop , yang bertanggungjawab untuk penghantaran muatan perisian hasad sebenar pada peringkat kedua serangan. DanDrop disuntik ke dalam dokumen MS sebagai makro VBA. Untuk titik akhir serangan, Lyceum menggunakan Trojan Akses Jauh (RAT) bernama DanBot . Untuk berkomunikasi dengan pelayan Command-and-Control (C2, C&C), malware RAT dilihat menggunakan kedua-dua protokol DNS dan HTTP.

Untuk meluaskan skop jangkauannya dalam rangkaian yang terjejas, Lyceum boleh menggunakan tiga alatan tambahan dalam bentuk skrip PowerShell - ' kl.ps1 ' ialah keylogger binaan tersuai, ' Get-LAPSP.ps1 ' mengeksploitasi LDAP untuk mengumpul data daripada Active Directory, dan ' Decrypt-RDCMan.ps1, ' yang ditugaskan untuk menyahsulit bukti kelayakan yang disimpan dalam fail konfigurasi RDCMan.

Walaupun aktiviti mereka terhad kepada wilayah tertentu setakat ini, penggodam dari Lyceum telah menubuhkan rantaian serangan dan set alat yang berkesan, yang boleh membolehkan mereka melancarkan serangan dengan mudah terhadap set entiti yang lebih luas.