Lyceum APT
Názvy Lyceum a Hexane sú označenia infosec pre tú istú skupinu hackerov Advanced Persistent Threat (APT). Zločincom sa podarilo operovať pod radarom takmer rok, kým sa ich aktivity v auguste 2019 dostali na povrch. Lyceum je vysoko špecializovaný aktér hrozieb, ktorý sa zameriava na zhromažďovanie poverení a exfiltráciu údajov. Ich cieľom je veľmi úzka skupina organizácií nachádzajúcich sa v jednom špecifickom geografickom regióne – ropné, plynárenské a telekomunikačné subjekty, ktoré sú aktívne na Blízkom východe.
Lyceum využíva komplexný reťazec útokov proti vybranej obeti, ktorý pozostáva z viacerých etáp. Aby získali oporu v cieľovej sieti, hackeri používajú rôzne taktiky sociálneho inžinierstva na doručenie otrávených dokumentov balíka Microsoft Office. Niektoré z dokumentov, pri ktorých výskumníci v oblasti kybernetickej bezpečnosti zistili, že ich používa Lyceum, majú lákavé názvy alebo tie, ktoré vzbudzujú zvedavosť používateľa, ako napríklad „Najhoršie heslá roku 2017“ alebo „Najlepších desať bezpečnostných postupov“. Inokedy je dokument napísaný celý v arabčine, čo potvrdzuje pokračujúce zameranie skupiny na región.
Ak používateľ spustí otrávený súbor, spustí sa kvapkadlo malvéru s názvom DanDrop , ktoré je zodpovedné za doručenie skutočného obsahu škodlivého softvéru v druhej fáze útoku. DanDrop sa vloží do dokumentov MS ako makro VBA. Ako koncový bod útoku používa Lyceum trójsky kôň so vzdialeným prístupom (RAT) s názvom DanBot . Zdá sa, že malvér RAT na komunikáciu so svojimi servermi Command-and-Control (C2, C&C) používa protokoly DNS aj HTTP.
Na rozšírenie rozsahu svojho dosahu v rámci ohrozenej siete môže Lyceum nasadiť tri ďalšie nástroje vo forme skriptov PowerShell – „ kl.ps1 “ je vlastný keylogger, „ Get-LAPSP.ps1 “ využíva LDAP na zhromažďovanie údajov z Active Directory a ' Decrypt-RDCMan.ps1 ', ktorý má za úlohu dešifrovať poverenia uložené v konfiguračnom súbore RDCMan.
Aj keď sa ich aktivity doteraz obmedzovali na konkrétny región, hackeri z Lyceum vytvorili reťaz útokov a účinný súbor nástrojov, ktoré by im umožnili ľahko zaútočiť proti širšej skupine subjektov.
