Лицей АПТ

Имена Lyceum и Hexane являются обозначениями информационной безопасности для одной и той же группы хакеров Advanced Persistent Threat (APT). Преступникам удавалось действовать незаметно в течение почти года, прежде чем их деятельность стала известна в августе 2019 года. Lyceum — это узкоспециализированная организация, занимающаяся угрозами, которая занимается сбором учетных данных и утечкой данных. Их целью является очень узкая группа организаций, расположенных в одном конкретном географическом регионе — нефтегазовые и телекоммуникационные предприятия, действующие на Ближнем Востоке.

Lyceum применяет сложную цепочку атак против выбранной жертвы, состоящую из нескольких этапов. Чтобы закрепиться в сети цели, хакеры используют различные тактики социальной инженерии для доставки зараженных документов Microsoft Office. Некоторым из документов, которые, по наблюдениям исследователей кибербезопасности, используются Lyceum, даются заманчивые заголовки или такие, которые вызывают любопытство пользователя, например, «Худшие пароли 2017 года» или «Десять лучших методов обеспечения безопасности». В других случаях документ полностью написан на арабском языке, что подтверждает постоянное внимание группы к региону.

Если пользователь запускает отравленный файл, он запускает дроппер вредоносного ПО под названием DanDrop, который отвечает за доставку фактической полезной нагрузки вредоносного ПО на втором этапе атаки. DanDrop внедряется в документы MS как макрос VBA. В качестве конечной точки атаки Lyceum использует троян удаленного доступа (RAT) под названием DanBot . Для связи со своими серверами управления и контроля (C2, C&C) вредоносная программа RAT использует протоколы DNS и HTTP.

Чтобы расширить сферу своей деятельности в скомпрометированной сети, Lyceum может развернуть три дополнительных инструмента в виде сценариев PowerShell: « kl.ps1 » — это специально созданный кейлоггер, «Get-LAPSP.ps1 » использует LDAP для сбора данных из Active Directory и « Decrypt-RDCMan.ps1 », которому поручено расшифровывать учетные данные, хранящиеся в файле конфигурации RDCMan.

Хотя до сих пор их действия были ограничены определенным регионом, хакеры из Lyceum создали цепочку атак и эффективный набор инструментов, которые могут позволить им легко проводить атаки на более широкий набор объектов.