Lyceum APT

Lyceum og Hexane sine navn er infosec-betegnelser for den samme Advanced Persistent Threat (APT)-gruppen av hackere. De kriminelle hadde klart å operere under radaren i nesten ett år før aktivitetene deres ble brakt til overflaten i august 2019. Lyceum er en høyt spesialisert trusselaktør som fokuserer på innsamling av legitimasjon og dataeksfiltrering. Deres mål er en veldig smal gruppe organisasjoner lokalisert i en spesifikk geografisk region - olje-, gass- og telekommunikasjonsenheter som er aktive i Midtøsten.

Lyceum bruker en kompleks angrepskjede mot det utvalgte offeret som består av flere stadier. For å få fotfeste i målets nettverk bruker hackerne ulike sosiale ingeniør-taktikker for å levere forgiftede Microsoft Office-dokumenter. Noen av dokumentene som cybersikkerhetsforskere har observert blir brukt av Lyceum er gitt fristende titler eller de som vekker brukerens nysgjerrighet, for eksempel "The Worst Passwords of 2017" eller "Top Ten Security Practices". Andre ganger er dokumentet skrevet på arabisk helt, noe som bekrefter gruppens fortsatte fokus på regionen.

Hvis brukeren kjører den forgiftede filen, utløser den en malware-dropper kalt DanDrop , som er ansvarlig for leveringen av den faktiske skadevarenyttelasten i den andre fasen av angrepet. DanDrop injiseres i MS-dokumentene som en VBA-makro. For endepunktet for angrepet bruker Lyceum en Remote Access Trojan (RAT) kalt DanBot . For å kommunisere med sine Command-and-Control-servere (C2, C&C) ser man at RAT-malware bruker både DNS- og HTTP-protokollene.

For å utvide rekkevidden innenfor det kompromitterte nettverket, kan Lyceum distribuere ytterligere tre verktøy i form av PowerShell-skript - ' kl.ps1 ' er en spesialbygd keylogger, ' Get-LAPSP.ps1 ' utnytter LDAP for å samle inn data fra Active Directory, og ' Decrypt-RDCMan.ps1, ' som har i oppgave å dekryptere legitimasjon som er lagret i RDCMan-konfigurasjonsfilen.

Selv om aktivitetene deres har vært begrenset til en spesifikk region så langt, har hackerne fra Lyceum etablert en angrepskjede og et effektivt verktøysett, som kan tillate dem enkelt å starte angrep mot et bredere sett med enheter.