Ліцей АПТ

Назви Lyceum і Hexane є позначеннями infosec для однієї і тієї ж групи хакерів Advanced Persistent Threat (APT). Зловмисникам вдавалося діяти поза радаром майже рік, перш ніж їхня діяльність була виявлена в серпні 2019 року. Ліцей — це вузькоспеціалізований актор із загрозами, який зосереджується на зборі облікових даних та ексфільтрації даних. Їх орієнтація на дуже вузьку групу організацій, розташованих в одному конкретному географічному регіоні, — нафтові, газові та телекомунікаційні підприємства, які діють на Близькому Сході.

Ліцей використовує складний ланцюг атаки на обрану жертву, що складається з кількох етапів. Щоб закріпитися в мережі цілі, хакери використовують різні тактики соціальної інженерії для доставки отруєних документів Microsoft Office. Деякі документи, які дослідники кібербезпеки використовуються в Ліцеї, мають привабливі назви або такі, що викликають цікавість користувача, наприклад «Найгірші паролі 2017 року» або «Десять найкращих практик безпеки». В інших випадках документ повністю написаний арабською мовою, що підтверджує постійну зосередженість групи на регіоні.

Якщо користувач виконує отруєний файл, він запускає дроппер зловмисного програмного забезпечення під назвою DanDrop, який відповідає за доставку фактичного корисного навантаження шкідливого програмного забезпечення на другому етапі атаки. DanDrop вводиться в документи MS як макрос VBA. Для кінцевої точки атаки Lyceum використовує троян віддаленого доступу (RAT) під назвою DanBot . Для зв’язку зі своїми серверами командування та керування (C2, C&C) зловмисне програмне забезпечення RAT використовує протоколи DNS і HTTP.

Щоб розширити сферу охоплення в скомпрометованій мережі, Lyceum може розгорнути три додаткові інструменти у вигляді сценаріїв PowerShell: ' kl.ps1 ' є спеціально створеним кейлоггером, ' Get-LAPSP.ps1 ' використовує LDAP для збору даних з Active Directory та « Decrypt-RDCMan.ps1 », якому покладено завдання розшифрувати облікові дані, що зберігаються у файлі конфігурації RDCMan.

Хоча досі їхня діяльність була обмежена певним регіоном, хакери з Ліцею створили ланцюжок атак і ефективний набір інструментів, які могли б дозволити їм легко запускати атаки на більш широкий набір осіб.