Liceul APT

Numele Lyceum și Hexane sunt denumiri infosec pentru același grup de hackeri Advanced Persistent Threat (APT). Infractorii au reușit să opereze sub radar aproape un an înainte ca activitățile lor să fie scoase la suprafață în august 2019. Lyceum este un actor de amenințări foarte specializat, care se concentrează pe colectarea de acreditări și pe exfiltrarea datelor. Acestea vizează un grup foarte restrâns de organizații situate într-o anumită regiune geografică - entități de petrol, gaze și telecomunicații care sunt active în Orientul Mijlociu.

Lyceum folosește un lanț complex de atac împotriva victimei selectate, care constă în mai multe etape. Pentru a obține un loc în rețeaua țintei, hackerii folosesc diverse tactici de inginerie socială pentru a livra documente Microsoft Office otrăvite. Unele dintre documentele pe care cercetătorii în securitate cibernetică le-au observat că sunt folosite de Lyceum primesc titluri atrăgătoare sau care stârnesc curiozitatea utilizatorului, cum ar fi „Cele mai proaste parole din 2017” sau „Top Zece practici de securitate”. Alteori, documentul este scris în întregime în arabă, confirmând concentrarea continuă a grupului asupra regiunii.

Dacă utilizatorul execută fișierul otrăvit, acesta declanșează un dropper de malware numit DanDrop , care este responsabil pentru livrarea încărcăturii utile de malware în a doua etapă a atacului. DanDrop este injectat în documentele MS ca macrocomandă VBA. Pentru punctul final al atacului, Lyceum folosește un troian de acces la distanță (RAT) numit DanBot . Pentru a comunica cu serverele sale de comandă și control (C2, C&C), malware-ul RAT este văzut că folosește atât protocoalele DNS, cât și HTTP.

Pentru a extinde aria sa de acoperire în cadrul rețelei compromise, Lyceum poate implementa trei instrumente suplimentare sub formă de scripturi PowerShell - „ kl.ps1 ” este un keylogger personalizat, „ Get-LAPSP.ps1 ” exploatează LDAP pentru a colecta date de la Active Directory și „ Decrypt-RDCMan.ps1 ”, care are sarcina de a decripta acreditările stocate în fișierul de configurare RDCMan.

Deși până acum activitățile lor s-au limitat la o anumită regiune, hackerii de la Lyceum au stabilit un lanț de atac și un set de instrumente eficient, care le-ar putea permite cu ușurință să lanseze atacuri împotriva unui set mai larg de entități.