Lyceum APT

Ang mga pangalan ng Lyceum at Hexane ay mga infosec designation para sa parehong Advanced Persistent Threat (APT) na pangkat ng mga hacker. Nagawa ng mga kriminal na gumana sa ilalim ng radar sa loob ng halos isang taon bago lumabas ang kanilang mga aktibidad noong Agosto 2019. Ang Lyceum ay isang highly specialized threat actor na tumutuon sa pagkolekta ng kredensyal at data exfiltration. Ang kanilang target ay isang napakakitid na grupo ng mga organisasyon na matatagpuan sa isang partikular na heyograpikong rehiyon - mga entidad ng langis, gas, at telekomunikasyon na aktibo sa Gitnang Silangan.

Gumagamit ang Lyceum ng isang kumplikadong chain ng pag-atake laban sa napiling biktima na binubuo ng maraming yugto. Upang makakuha ng isang foothold sa loob ng network ng target, ang mga hacker ay gumagamit ng iba't ibang mga social-engineering na taktika upang maghatid ng mga nalason na dokumento ng Microsoft Office. Ang ilan sa mga dokumentong naobserbahan ng mga mananaliksik sa cybersecurity na ginagamit ng Lyceum ay binibigyan ng mga nakakaakit na titulo o mga iyon na pumukaw sa pagkamausisa ng gumagamit, gaya ng 'Ang Pinakamasamang Mga Password ng 2017' o 'Nangungunang Sampung Kasanayan sa Seguridad.' Sa ibang pagkakataon, ang dokumento ay nakasulat nang buo sa Arabic, na nagpapatunay sa patuloy na pagtutok ng grupo sa rehiyon.

Kung ipapatupad ng user ang nalason na file, magti-trigger ito ng malware dropper na tinatawag na DanDrop , na responsable para sa paghahatid ng aktwal na payload ng malware sa ikalawang yugto ng pag-atake. Ang DanDrop ay iniksyon sa mga dokumento ng MS bilang isang VBA macro. Para sa endpoint ng pag-atake, gumagamit ang Lyceum ng Remote Access Trojan (RAT) na pinangalanang DanBot . Upang makipag-ugnayan sa mga server ng Command-and-Control (C2, C&C) nito, nakikitang ginagamit ng RAT malware ang parehong mga protocol ng DNS at HTTP.

Upang palawakin ang saklaw ng pag-abot nito sa loob ng nakompromisong network, maaaring mag-deploy ang Lyceum ng tatlong karagdagang tool sa anyo ng mga PowerShell script - ' kl.ps1 ' ay isang custom-build na keylogger, sinasamantala ng ' Get-LAPSP.ps1 ' ang LDAP para mangolekta ng data mula sa Active Directory, at ' Decrypt-RDCMan.ps1, ' na may tungkulin sa pag-decrypting ng mga kredensyal na nakaimbak sa loob ng RDCMan configuration file.

Kahit na ang kanilang mga aktibidad ay nakakulong sa isang partikular na rehiyon sa ngayon, ang mga hacker mula sa Lyceum ay nagtatag ng isang attack chain at isang epektibong toolset, na maaaring magbigay-daan sa kanila na madaling maglunsad ng mga pag-atake laban sa isang mas malawak na hanay ng mga entity.