Lyceum APT

Lyceum ve Hexane'in adları, aynı Gelişmiş Kalıcı Tehdit (APT) hacker grubu için bilgi güvenliği tanımlamalarıdır. Suçlular, faaliyetleri Ağustos 2019'da yüzeye çıkarılmadan önce neredeyse bir yıl boyunca radar altında kalmayı başarmışlardı. Lyceum, kimlik bilgisi toplama ve veri hırsızlığına odaklanan son derece uzmanlaşmış bir tehdit aktörüdür. Orta Doğu'da faaliyet gösteren petrol, gaz ve telekomünikasyon kuruluşları gibi belirli bir coğrafi bölgede bulunan çok dar bir organizasyon grubunu hedefliyorlar.

Lyceum, seçilen kurbana karşı birden fazla aşamadan oluşan karmaşık bir saldırı zinciri kullanır. Bilgisayar korsanları, hedefin ağında bir yer edinmek için zehirli Microsoft Office belgelerini teslim etmek için çeşitli sosyal mühendislik taktikleri kullanır. Siber güvenlik araştırmacılarının Lyceum tarafından kullanıldığını gözlemlediği bazı belgelere, '2017'nin En Kötü Şifreleri' veya 'En İyi On Güvenlik Uygulaması' gibi cazip veya kullanıcının merakını uyandıran başlıklar veriliyor. Diğer zamanlarda, belge tamamen Arapça yazılmıştır ve grubun bölgeye odaklanmaya devam ettiğini doğrulamaktadır.

Kullanıcı zehirlenen dosyayı çalıştırırsa, saldırının ikinci aşamasında gerçek kötü amaçlı yazılım yükünün tesliminden sorumlu olan DanDrop adlı bir kötü amaçlı yazılım düşürücüyü tetikler. DanDrop, MS belgelerine bir VBA makrosu olarak enjekte edilir. Saldırının uç noktası için Lyceum, DanBot adlı bir Uzaktan Erişim Truva Atı (RAT) kullanır. Komuta ve Kontrol (C2, C&C) sunucularıyla iletişim kurmak için RAT kötü amaçlı yazılımının hem DNS hem de HTTP protokollerini kullandığı görülüyor.

Güvenliği ihlal edilmiş ağ içinde erişim kapsamını genişletmek için Lyceum, PowerShell komut dosyaları biçiminde üç ek araç dağıtabilir - ' kl.ps1 ' özel olarak oluşturulmuş bir keylogger'dır, ' Get-LAPSP.ps1 ', veri toplamak için LDAP'yi kullanır. Active Directory ve RDCMan yapılandırma dosyasında depolanan kimlik bilgilerinin şifresini çözmekle görevli 'Decrypt-RDCMan.ps1'.

Faaliyetleri şu ana kadar belirli bir bölgeyle sınırlı olmasına rağmen, Lyceum'dan gelen bilgisayar korsanları bir saldırı zinciri ve etkili bir araç seti kurdular, bu da daha geniş bir varlığa karşı kolayca saldırı başlatmalarına izin verebilir.