Licej APT

Imeni Lyceum in Hexane sta označbi infosec za isto skupino hekerjev Advanced Persistent Threat (APT). Zločinci so uspeli delovati pod radarjem skoraj eno leto, preden so bile njihove dejavnosti avgusta 2019 razkrite. Lyceum je visoko specializiran akter groženj, ki se osredotoča na zbiranje poverilnic in ekstrakcijo podatkov. Njihov cilj je zelo ozka skupina organizacij, ki se nahajajo v eni specifični geografski regiji – naftni, plinski in telekomunikacijski subjekti, ki so dejavni na Bližnjem vzhodu.

Lyceum uporablja zapleteno verigo napadov na izbrano žrtev, ki je sestavljena iz več stopenj. Da bi se uveljavili v omrežju tarče, hekerji uporabljajo različne taktike socialnega inženiringa za dostavo zastrupljenih dokumentov Microsoft Office. Nekateri dokumenti, za katere so raziskovalci kibernetske varnosti opazili, da jih uporablja Lyceum, imajo vabljive naslove ali tiste, ki vzbujajo radovednost uporabnika, na primer »Najslabša gesla leta 2017« ali »Top deset varnostnih praks«. Včasih je dokument v celoti napisan v arabščini, kar potrjuje, da se skupina še naprej osredotoča na regijo.

Če uporabnik izvede zastrupljeno datoteko, ta sproži odstranjevalec zlonamerne programske opreme, imenovan DanDrop, ki je odgovoren za dostavo dejanskega koristnega tovora zlonamerne programske opreme v drugi fazi napada. DanDrop se vnese v dokumente MS kot makro VBA. Za končno točko napada Lyceum uporablja Trojan za oddaljeni dostop (RAT) z imenom DanBot . Za komunikacijo s svojimi strežniki za upravljanje in nadzor (C2, C&C) se zdi, da zlonamerna programska oprema RAT uporablja tako protokola DNS kot HTTP.

Za razširitev obsega svojega dosega znotraj ogroženega omrežja lahko Lyceum uvede tri dodatna orodja v obliki skriptov PowerShell – ' kl.ps1 ' je po meri izdelan keylogger, ' Get-LAPSP.ps1 ' izkorišča LDAP za zbiranje podatkov iz Active Directory in » Decrypt-RDCMan.ps1 «, ki ima nalogo dešifrirati poverilnice, shranjene v konfiguracijski datoteki RDCMan.

Čeprav so bile njihove dejavnosti doslej omejene na določeno regijo, so hekerji iz Lyceuma vzpostavili verigo napadov in učinkovit nabor orodij, ki bi jim lahko omogočila enostavno izvajanje napadov na širši nabor subjektov.

V trendu

Najbolj gledan

Nalaganje...