Liceu APT

Emrat e Lyceum dhe Hexane janë emërtime infosec për të njëjtin grup hakerësh të Kërcënimit të Përparuar të Përparuar (APT). Kriminelët kishin arritur të vepronin nën radar për gati një vit përpara se aktivitetet e tyre të dilnin në sipërfaqe në gusht 2019. Liceu është një aktor kërcënimi shumë i specializuar që fokusohet në mbledhjen e kredencialeve dhe ekfiltrimin e të dhënave. Synojnë një grup shumë të ngushtë organizatash të vendosura në një rajon specifik gjeografik - naftë, gaz dhe entitete telekomunikacioni që janë aktive në Lindjen e Mesme.

Liceu përdor një zinxhir kompleks sulmi kundër viktimës së përzgjedhur që përbëhet nga disa faza. Për të fituar një terren brenda rrjetit të objektivit, hakerët përdorin taktika të ndryshme inxhinierike sociale për të ofruar dokumente të helmuara të Microsoft Office. Disa nga dokumentet që studiuesit e sigurisë kibernetike kanë vërejtur se përdoren nga Liceu janë dhënë tituj joshës ose që zgjojnë kureshtjen e përdoruesit, si "Fjalëkalimet më të këqija të 2017" ose "Top Ten Practices Security". Herë të tjera, dokumenti është shkruar tërësisht në arabisht, duke konfirmuar fokusin e vazhdueshëm të grupit në rajon.

Nëse përdoruesi ekzekuton skedarin e helmuar, ai shkakton një lëshues malware të quajtur DanDrop, i cili është përgjegjës për shpërndarjen e ngarkesës aktuale të malware në fazën e dytë të sulmit. DanDrop është injektuar në dokumentet MS si një makro VBA. Për pikën përfundimtare të sulmit, Lyceum përdor një Trojan të Qasjes në distancë (RAT) të quajtur DanBot . Për të komunikuar me serverët e tij Command-and-Control (C2, C&C), malware RAT shihet se po përdor protokollet DNS dhe HTTP.

Për të zgjeruar sferën e shtrirjes së tij brenda rrjetit të komprometuar, Lyceum mund të vendosë tre mjete shtesë në formën e skripteve të PowerShell - ' kl.ps1 ' është një skedar keylogger i ndërtuar me porosi, ' Get-LAPSP.ps1 ' shfrytëzon LDAP për të mbledhur të dhëna nga Active Directory dhe " Decrypt-RDCMan.ps1 ", i cili ka për detyrë të deshifrojë kredencialet e ruajtura brenda skedarit të konfigurimit RDCMan.

Megjithëse aktivitetet e tyre kanë qenë të kufizuara në një rajon të caktuar deri më tani, hakerët nga Liceu kanë krijuar një zinxhir sulmi dhe një grup mjetesh efektive, të cilat mund t'i lejojnë ata lehtësisht të kryejnë sulme kundër një grupi më të gjerë subjektesh.