Lyceum APT
Nazwy Lyceum i Hexane są oznaczeniami infosec dla tej samej grupy hakerów Advanced Persistent Threat (APT). Przestępcom udało się działać pod radarem przez prawie rok, zanim ich działalność wyszła na powierzchnię w sierpniu 2019 r. Liceum jest wysoce wyspecjalizowanym podmiotem zajmującym się zagrożeniami, który koncentruje się na zbieraniu poświadczeń i eksfiltracji danych. Skierowane są do bardzo wąskiej grupy organizacji zlokalizowanych w jednym określonym regionie geograficznym - podmiotów z branży naftowej, gazowej i telekomunikacyjnej, które działają na Bliskim Wschodzie.
Liceum stosuje złożony łańcuch ataków na wybraną ofiarę, który składa się z wielu etapów. Aby zdobyć przyczółek w sieci celu, hakerzy wykorzystują różne taktyki socjotechniczne, aby dostarczyć zatrute dokumenty Microsoft Office. Niektóre dokumenty, które badacze cyberbezpieczeństwa zaobserwowali jako używane przez Lyceum, mają kuszące tytuły lub takie, które wzbudzają ciekawość użytkownika, takie jak „Najgorsze hasła 2017 r." Lub „Dziesięć najważniejszych praktyk bezpieczeństwa". Innym razem dokument jest w całości napisany po arabsku, co potwierdza ciągłą koncentrację grupy na regionie.
Jeśli użytkownik uruchomi zatruty plik, uruchamia dropper złośliwego oprogramowania o nazwie DanDrop , który jest odpowiedzialny za dostarczenie rzeczywistego ładunku szkodliwego oprogramowania w drugiej fazie ataku. DanDrop jest wprowadzany do dokumentów MS jako makro VBA. Jako punkt końcowy ataku Lyceum używa trojana zdalnego dostępu (RAT) o nazwie DanBot . Aby komunikować się ze swoimi serwerami Command-and-Control (C2, C&C), szkodliwe oprogramowanie RAT używa zarówno protokołów DNS, jak i HTTP.
Aby rozszerzyć zasięg swojego zasięgu w zaatakowanej sieci, Lyceum może wdrożyć trzy dodatkowe narzędzia w postaci skryptów PowerShell - „ kl.ps1 " to niestandardowy keylogger, „ Get-LAPSP.ps1 " wykorzystuje LDAP do zbierania danych z Active Directory i „ Decrypt-RDCMan.ps1 ", którego zadaniem jest odszyfrowanie poświadczeń przechowywanych w pliku konfiguracyjnym RDCMan.
Chociaż dotychczas ich działania ograniczały się do konkretnego regionu, hakerzy z Lyceum stworzyli łańcuch ataków i skuteczny zestaw narzędzi, który pozwoliłby im z łatwością przeprowadzać ataki na szerszą grupę podmiotów.
