Lyceum APT

Os nomes Lyceum e Hexane são designações de infosec para o mesmo grupo de hackers de um Advanced Persistent Threat (APT). Os criminosos conseguiram operar sob o radar por quase um ano antes de suas atividades virem à tona em agosto de 2019. O Lyceum é um agente de ameaças altamente especializado que se concentra na coleta de credenciais e na exfiltração de dados. Seu alvo é um grupo muito restrito de organizações localizadas em uma região geográfica específica - entidades de petróleo, gás e telecomunicações que atuam no Oriente Médio.

O Lyceum emprega uma cadeia de ataque complexa contra a vítima selecionada que consiste em vários estágios. Para ganhar uma posição na rede do alvo, os hackers usam várias táticas de engenharia social para entregar documentos envenenados do Microsoft Office. Alguns dos documentos que os pesquisadores de segurança cibernética observaram como sendo usados pelo Lyceum recebem títulos atraentes ou que despertam a curiosidade do usuário, tais como 'As piores senhas de 2017' ou 'Dez principais práticas de segurança'. Outras vezes, o documento é escrito inteiramente em árabe, confirmando o foco contínuo do grupo na região.

Se o usuário executar o arquivo envenenado, ele aciona um dropper de malware chamado DanDrop, que é responsável pela entrega da carga real do malware no segundo estágio do ataque. O DanDrop é injetado nos documentos MS como uma macro VBA. Para o endpoint do ataque, o Lyceum usa um Trojan de Acesso Remoto (RAT) chamado DanBot. Para se comunicar com seus servidores de Comando-e-Controle (C2, C&C), o malware RAT parece estar usando os protocolos DNS e HTTP.

Para expandir o escopo do seu alcance na rede comprometida, o Lyceum pode implantar três ferramentas adicionais na forma de scripts do PowerShell - ' kl.ps1 ' é um keylogger de construção personalizada, ' Get-LAPSP.ps1 ' explora o LDAP para coletar dados Active Directory e ' Decrypt-RDCMan.ps1 ' , que tem a tarefa de descriptografar as credenciais armazenadas no arquivo de configuração RDCMan.

Embora suas atividades tenham sido confinadas a uma região específica até agora, os hackers do Lyceum estabeleceram uma cadeia de ataque e um conjunto de ferramentas eficaz, o que poderia permitir que eles facilmente lançassem ataques contra um conjunto mais amplo de entidades.