Lyceum APT
Lyceum 和 Hexane 的名称是同一个高级持续威胁 (APT) 黑客组的信息安全名称。在 2019 年 8 月他们的活动浮出水面之前,犯罪分子已经设法在雷达下运作了近一年。Lyceum 是一个高度专业化的威胁参与者,专注于凭证收集和数据泄露。他们的目标是位于一个特定地理区域的一小群组织——活跃在中东的石油、天然气和电信实体。
Lyceum 对选定的受害者采用了一个复杂的攻击链,该攻击链由多个阶段组成。为了在目标网络中站稳脚跟,黑客使用各种社会工程策略来传递有毒的 Microsoft Office 文档。网络安全研究人员观察到 Lyceum 使用的一些文件具有诱人的标题或激起用户好奇心的标题,例如“2017 年最糟糕的密码”或“十大安全实践”。其他时候,该文件完全用阿拉伯语编写,证实了该组织对该地区的持续关注。
如果用户执行中毒文件,它会触发一个名为DanDrop 的恶意软件投放器,该投放器负责在攻击的第二阶段传递实际的恶意软件负载。 DanDrop 作为 VBA 宏注入到 MS 文档中。对于攻击的端点,Lyceum 使用名为DanBot的远程访问木马 (RAT)。为了与它的命令和控制(C2、C&C)服务器进行通信,RAT 恶意软件被认为同时使用了 DNS 和 HTTP 协议。
为了扩大其在受感染网络中的覆盖范围,Lyceum 可以以 PowerShell 脚本的形式部署三个额外的工具——“ kl.ps1 ”是一个自定义构建的键盘记录器,“ Get-LAPSP.ps1 ”利用 LDAP 从Active Directory 和“ Decrypt-RDCMan.ps1 ”,其任务是解密存储在 RDCMan 配置文件中的凭据。
尽管到目前为止他们的活动仅限于特定区域,但来自 Lyceum 的黑客已经建立了攻击链和有效的工具集,这可以让他们轻松地对更广泛的实体发起攻击。
