สถานศึกษา APT

ชื่อของ Lyceum และ Hexane เป็นชื่ออินโฟเซคสำหรับกลุ่มแฮกเกอร์กลุ่มเดียวกันคือ Advanced Persistent Threat (APT) อาชญากรสามารถปฏิบัติการภายใต้เรดาร์ได้เกือบหนึ่งปีก่อนที่กิจกรรมของพวกเขาจะถูกเปิดเผยในเดือนสิงหาคม 2019 Lyceum เป็นภัยคุกคามที่มีความเชี่ยวชาญสูงซึ่งมุ่งเน้นไปที่การรวบรวมข้อมูลรับรองและการกรองข้อมูล เป้าหมายของพวกเขาคือกลุ่มองค์กรที่แคบมากซึ่งตั้งอยู่ในภูมิภาคใดภูมิภาคหนึ่ง - น้ำมัน ก๊าซ และหน่วยงานโทรคมนาคมที่ดำเนินการอยู่ในตะวันออกกลาง

Lyceum ใช้การโจมตีที่ซับซ้อนต่อเหยื่อที่เลือกซึ่งประกอบด้วยหลายขั้นตอน เพื่อตั้งหลักในเครือข่ายของเป้าหมาย แฮกเกอร์ใช้กลวิธีวิศวกรรมสังคมที่หลากหลายเพื่อส่งเอกสาร Microsoft Office ที่เป็นพิษ เอกสารบางฉบับที่นักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่า Lyceum ใช้นั้นได้รับชื่อที่ดึงดูดใจหรือชื่อที่กระตุ้นความอยากรู้อยากเห็นของผู้ใช้ เช่น 'รหัสผ่านที่แย่ที่สุดของปี 2017' หรือ 'แนวทางปฏิบัติด้านความปลอดภัยสิบอันดับแรก' ในบางครั้ง เอกสารนี้เขียนเป็นภาษาอาหรับทั้งหมด เป็นการยืนยันว่ากลุ่มนี้มุ่งเน้นที่ภูมิภาคนี้ต่อไป

หากผู้ใช้เรียกใช้ไฟล์ที่เป็นพิษ มันจะทริกเกอร์มัลแวร์ที่เรียกว่า DanDrop ซึ่งมีหน้าที่รับผิดชอบในการส่งมอบเพย์โหลดมัลแวร์จริงในขั้นตอนที่สองของการโจมตี DanDrop ถูกฉีดเข้าไปในเอกสาร MS เป็นมาโคร VBA สำหรับจุดสิ้นสุดของการโจมตีที่สถานศึกษาใช้การเข้าถึงระยะไกลโทรจัน (RAT) ชื่อ DanBot ในการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) มัลแวร์ RAT นั้นใช้ทั้งโปรโตคอล DNS และ HTTP

เพื่อขยายขอบเขตการเข้าถึงภายในเครือข่ายที่ถูกบุกรุก Lyceum สามารถปรับใช้เครื่องมือเพิ่มเติมสามตัวในรูปแบบของสคริปต์ PowerShell - ' kl.ps1 ' เป็นคีย์ล็อกเกอร์แบบกำหนดเอง ' Get-LAPSP.ps1 ' ใช้ประโยชน์จาก LDAP เพื่อรวบรวมข้อมูลจาก Active Directory และ ' Decrypt-RDCMan.ps1 ' ซึ่งได้รับมอบหมายให้ถอดรหัสข้อมูลประจำตัวที่จัดเก็บไว้ในไฟล์การกำหนดค่า RDCMan

แม้ว่ากิจกรรมของพวกเขาจะถูกจำกัดอยู่ในภูมิภาคใดภูมิภาคหนึ่ง แต่แฮกเกอร์จาก Lyceum ได้สร้างห่วงโซ่การโจมตีและชุดเครื่องมือที่มีประสิทธิภาพ ซึ่งจะช่วยให้พวกเขาสามารถโจมตีกลุ่มเอนทิตีที่กว้างขึ้นได้อย่างง่ายดาย