Lyceum APT

De namen van Lyceum en Hexane zijn infosec-aanduidingen voor dezelfde Advanced Persistent Threat (APT) -groep van hackers. De criminelen waren erin geslaagd om bijna een jaar onder de radar te opereren voordat hun activiteiten in augustus 2019 aan de oppervlakte kwamen. Lyceum is een zeer gespecialiseerde dreigingsacteur die zich richt op het verzamelen van inloggegevens en het exfiltreren van gegevens. Ze richten zich op een zeer kleine groep organisaties die in een specifieke geografische regio zijn gevestigd: olie-, gas- en telecommunicatie-entiteiten die actief zijn in het Midden-Oosten.

Lyceum hanteert een complexe aanvalsketen tegen het geselecteerde slachtoffer die uit meerdere fasen bestaat. Om voet aan de grond te krijgen binnen het netwerk van het doelwit, gebruiken de hackers verschillende social engineering-tactieken om vergiftigde Microsoft Office-documenten af te leveren. Sommige van de documenten waarvan cybersecurity-onderzoekers hebben vastgesteld dat ze door Lyceum worden gebruikt, krijgen verleidelijke titels of documenten die de nieuwsgierigheid van de gebruiker prikkelen, zoals 'The Worst Passwords of 2017' of 'Top Ten Security Practices'. Andere keren is het document volledig in het Arabisch geschreven, wat de voortdurende focus van de groep op de regio bevestigt.

Als de gebruiker het vergiftigde bestand uitvoert, activeert het een malwaredropper genaamd DanDrop , die verantwoordelijk is voor de levering van de daadwerkelijke malware-lading in de tweede fase van de aanval. DanDrop wordt als een VBA-macro in de MS-documenten geïnjecteerd. Voor het eindpunt van de aanval gebruikt Lyceum een Remote Access Trojan (RAT) genaamd DanBot . Om te communiceren met zijn Command-and-Control-servers (C2, C&C), wordt gezien dat de RAT-malware zowel het DNS- als het HTTP-protocol gebruikt.

Om de reikwijdte van zijn bereik binnen het gecompromitteerde netwerk uit te breiden, kan Lyceum drie extra tools inzetten in de vorm van PowerShell-scripts - ' kl.ps1 ' is een op maat gemaakte keylogger, ' Get-LAPSP.ps1 ' maakt gebruik van LDAP om gegevens te verzamelen van Active Directory en ' Decrypt-RDCMan.ps1 ', dat is belast met het decoderen van inloggegevens die zijn opgeslagen in het RDCMan-configuratiebestand.

Hoewel hun activiteiten tot nu toe beperkt waren tot een specifieke regio, hebben de hackers van Lyceum een aanvalsketen en een effectieve toolset opgezet, waarmee ze gemakkelijk aanvallen kunnen uitvoeren op een bredere reeks entiteiten.