లైసియం APT

లైసియం మరియు హెక్సేన్ పేర్లు అదే అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) హ్యాకర్ల సమూహానికి ఇన్ఫోసెక్ హోదాలు. నేరస్థులు ఆగస్టు 2019లో తమ కార్యకలాపాలు తెరపైకి తీసుకురావడానికి ముందు దాదాపు ఒక సంవత్సరం పాటు రాడార్‌లో పని చేయగలిగారు. లైసియం అనేది క్రెడెన్షియల్ సేకరణ మరియు డేటా ఎక్స్‌ఫిల్ట్రేషన్‌పై దృష్టి సారించే అత్యంత ప్రత్యేకమైన ముప్పు నటుడు. వారి లక్ష్యం ఒక నిర్దిష్ట భౌగోళిక ప్రాంతంలో ఉన్న చాలా ఇరుకైన సంస్థల సమూహం - మధ్యప్రాచ్యంలో చురుకుగా ఉన్న చమురు, గ్యాస్ మరియు టెలికమ్యూనికేషన్స్ సంస్థలు.

లైసియం అనేక దశలను కలిగి ఉన్న ఎంచుకున్న బాధితునికి వ్యతిరేకంగా సంక్లిష్టమైన దాడి గొలుసును ఉపయోగిస్తుంది. టార్గెట్ నెట్‌వర్క్‌లో పట్టు సాధించడానికి, హ్యాకర్లు విషపూరిత మైక్రోసాఫ్ట్ ఆఫీస్ పత్రాలను అందించడానికి వివిధ సామాజిక-ఇంజనీరింగ్ వ్యూహాలను ఉపయోగిస్తారు. లైసియం ఉపయోగించడాన్ని సైబర్‌ సెక్యూరిటీ పరిశోధకులు గమనించిన కొన్ని డాక్యుమెంట్‌లకు '2017 యొక్క చెత్త పాస్‌వర్డ్‌లు' లేదా 'టాప్ టెన్ సెక్యూరిటీ ప్రాక్టీసెస్' వంటి ఆకర్షణీయమైన శీర్షికలు లేదా వినియోగదారు ఉత్సుకతను రేకెత్తించేవి ఇవ్వబడ్డాయి. ఇతర సమయాల్లో, పత్రం పూర్తిగా అరబిక్‌లో వ్రాయబడింది, ఇది సమూహం యొక్క ప్రాంతంపై నిరంతర దృష్టిని నిర్ధారిస్తుంది.

వినియోగదారు విషపూరితమైన ఫైల్‌ను అమలు చేస్తే, అది దాడి యొక్క రెండవ దశలో అసలు మాల్వేర్ పేలోడ్ యొక్క డెలివరీకి బాధ్యత వహించే DanDrop అనే మాల్వేర్ డ్రాపర్‌ను ప్రేరేపిస్తుంది. DanDrop MS డాక్యుమెంట్‌లలో VBA మాక్రోగా ఇంజెక్ట్ చేయబడింది. దాడి ముగింపు స్థానం కోసం, లైసియం డాన్‌బాట్ అనే రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ని ఉపయోగిస్తుంది. దాని కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌లతో కమ్యూనికేట్ చేయడానికి, RAT మాల్వేర్ DNS మరియు HTTP ప్రోటోకాల్‌లను ఉపయోగిస్తున్నట్లు కనిపిస్తుంది.

రాజీపడిన నెట్‌వర్క్‌లో దాని పరిధిని విస్తరించడానికి, లైసియం పవర్‌షెల్ స్క్రిప్ట్‌ల రూపంలో మూడు అదనపు సాధనాలను అమర్చవచ్చు - 'kl.ps1' అనేది అనుకూల-బిల్డ్ కీలాగర్, ' Get-LAPSP.ps1 ' నుండి డేటాను సేకరించడానికి LDAPని ఉపయోగించుకుంటుంది. యాక్టివ్ డైరెక్టరీ, మరియు ' Decrypt-RDCMan.ps1, ' ఇది RDCMan కాన్ఫిగరేషన్ ఫైల్‌లో నిల్వ చేయబడిన ఆధారాలను డీక్రిప్ట్ చేయడంతో పని చేస్తుంది.

వారి కార్యకలాపాలు ఇప్పటివరకు నిర్దిష్ట ప్రాంతానికి పరిమితమైనప్పటికీ, లైసియం నుండి హ్యాకర్లు దాడి గొలుసును మరియు సమర్థవంతమైన టూల్‌సెట్‌ను ఏర్పాటు చేశారు, ఇది విస్తృతమైన సంస్థలపై సులభంగా దాడులను ప్రారంభించేందుకు వీలు కల్పిస్తుంది.