Lyceum APT

Lyceum och Hexanes namn är infosec-beteckningar för samma Advanced Persistent Threat (APT) grupp av hackare. Brottslingarna hade hunnit operera under radarn i nästan ett år innan deras aktiviteter togs upp till ytan i augusti 2019. Lyceum är en högspecialiserad hotaktör som fokuserar på insamling av inloggningsuppgifter och dataexfiltrering. Deras mål är en mycket smal grupp av organisationer som är belägna i en specifik geografisk region - olja, gas och telekommunikationsföretag som är verksamma i Mellanöstern.

Lyceum använder en komplex attackkedja mot det utvalda offret som består av flera steg. För att få fotfäste inom målets nätverk använder hackarna olika sociala tekniker för att leverera förgiftade Microsoft Office-dokument. Vissa av de dokument som cybersäkerhetsforskare har observerat används av Lyceum får lockande titlar eller sådana som väcker användarens nyfikenhet, som "The Worst Passwords of 2017" eller "Top Ten Security Practices". Andra gånger är dokumentet skrivet helt på arabiska, vilket bekräftar gruppens fortsatta fokus på regionen.

Om användaren kör den förgiftade filen utlöser den en skadlig programvara som heter DanDrop, som ansvarar för leveransen av den faktiska skadliga nyttolasten i det andra steget av attacken. DanDrop injiceras i MS-dokumenten som ett VBA-makro. För attackens slutpunkt använder Lyceum en Remote Access Trojan (RAT) som heter DanBot. För att kommunicera med sina Command-and-Control-servrar (C2, C&C) ser man att RAT skadlig programvara använder både DNS- och HTTP-protokollen.

För att utöka omfattningen av sin räckvidd inom det komprometterade nätverket kan Lyceum distribuera ytterligare tre verktyg i form av PowerShell-skript - ' kl.ps1 ' är en specialbyggd keylogger, ' Get-LAPSP.ps1 ' utnyttjar LDAP för att samla in data från Active Directory, och ' Decrypt-RDCMan.ps1, ' som har till uppgift att dekryptera referenser som lagras i RDCMan-konfigurationsfilen.

Även om deras aktiviteter hittills har varit begränsade till en specifik region, har hackarna från Lyceum etablerat en attackkedja och en effektiv verktygsuppsättning, som kan göra det möjligt för dem att enkelt starta attacker mot en bredare uppsättning enheter.

Trendigt

Mest sedda

Läser in...