Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) Lyceum APT

Lyceum APT

Đến năm GoldSparrow năm Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

Tên của Lyceum và Hexane là ký hiệu infosec cho cùng một nhóm tin tặc Mối đe dọa liên tục nâng cao (APT). Bọn tội phạm đã quản lý để hoạt động dưới radar trong gần một năm trước khi hoạt động của chúng được đưa ra mặt đất vào tháng 8 năm 2019. Lyceum là một kẻ đe dọa chuyên môn cao, tập trung vào việc thu thập thông tin xác thực và lọc dữ liệu. Họ nhắm mục tiêu đến một nhóm rất hẹp các tổ chức nằm trong một khu vực địa lý cụ thể - các thực thể dầu khí và viễn thông đang hoạt động ở Trung Đông.

Lyceum sử dụng một chuỗi tấn công phức tạp chống lại nạn nhân được chọn bao gồm nhiều giai đoạn. Để có được chỗ đứng trong mạng của mục tiêu, tin tặc sử dụng nhiều chiến thuật kỹ thuật xã hội khác nhau để cung cấp các tài liệu Microsoft Office bị nhiễm độc. Một số tài liệu mà các nhà nghiên cứu an ninh mạng đã quan sát được Lyceum sử dụng có tiêu đề hấp dẫn hoặc những tài liệu khơi gợi sự tò mò của người dùng, chẳng hạn như 'Mật khẩu tồi tệ nhất năm 2017' hoặc 'Mười phương pháp bảo mật hàng đầu.' Lần khác, tài liệu được viết hoàn toàn bằng tiếng Ả Rập, xác nhận sự tập trung tiếp tục của nhóm vào khu vực.

Nếu người dùng thực thi tệp bị nhiễm độc, nó sẽ kích hoạt một phần mềm nhỏ giọt phần mềm độc hại có tên DanDrop , chịu trách nhiệm phân phối khối lượng phần mềm độc hại thực tế trong giai đoạn thứ hai của cuộc tấn công. DanDrop được đưa vào tài liệu MS dưới dạng macro VBA. Đối với điểm cuối của cuộc tấn công, Lyceum sử dụng Trojan Truy cập Từ xa (RAT) có tên DanBot . Để giao tiếp với các máy chủ Command-and-Control (C2, C&C), phần mềm độc hại RAT được cho là đang sử dụng cả giao thức DNS và HTTP.

Để mở rộng phạm vi tiếp cận của nó trong mạng bị xâm phạm, Lyceum có thể triển khai ba công cụ bổ sung dưới dạng tập lệnh PowerShell - ' kl.ps1 ' là keylogger xây dựng tùy chỉnh, ' Get-LAPSP.ps1 ' khai thác LDAP để thu thập dữ liệu từ Active Directory và ' Decrypt-RDCMan.ps1, ' được giao nhiệm vụ giải mã thông tin đăng nhập được lưu trữ trong tệp cấu hình RDCMan.

Mặc dù các hoạt động của chúng chỉ giới hạn trong một khu vực cụ thể cho đến nay, nhưng các tin tặc từ Lyceum đã thiết lập một chuỗi tấn công và một bộ công cụ hiệu quả, có thể cho phép chúng dễ dàng thực hiện các cuộc tấn công chống lại nhiều thực thể hơn.

xu hướng

Lừa đảo qua email 'YouPorn'

Spam
Sau khi kiểm tra kỹ lưỡng các email 'YouPorn', các chuyên gia an ninh mạng đã xác nhận bản chất lừa đảo của chúng. Những email này là một phần của nhiều biến thể thư rác khác nhau, tất cả đều giống với các chiến thuật phân tích sextortion. Chủ đề chung trong số các email lừa đảo này là khẳng định bịa đặt rằng người nhận có liên quan đến tài liệu khiêu dâm được đăng gần đây trên trang...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
14,963
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...