Lyceum APT
Lyceum 和 Hexane 的名稱是同一個高級持續威脅 (APT) 黑客組的信息安全名稱。在 2019 年 8 月他們的活動浮出水面之前,犯罪分子已經設法在雷達下運作了近一年。Lyceum 是一個高度專業化的威脅參與者,專注於憑證收集和數據洩露。他們的目標是位於一個特定地理區域的一小群組織——活躍在中東的石油、天然氣和電信實體。
Lyceum 對選定的受害者採用了一個複雜的攻擊鏈,該攻擊鏈由多個階段組成。為了在目標網絡中站穩腳跟,黑客使用各種社會工程策略來傳遞有毒的 Microsoft Office 文檔。網絡安全研究人員觀察到 Lyceum 使用的一些文件具有誘人的標題或激起用戶好奇心的標題,例如“2017 年最糟糕的密碼”或“十大安全實踐”。其他時候,該文件完全用阿拉伯語編寫,證實了該組織對該地區的持續關注。
如果用戶執行中毒文件,它會觸發一個名為DanDrop 的惡意軟件投放器,該投放器負責在攻擊的第二階段傳遞實際的惡意軟件負載。 DanDrop 作為 VBA 宏注入到 MS 文檔中。對於攻擊的端點,Lyceum 使用名為DanBot的遠程訪問木馬 (RAT)。為了與它的命令和控制(C2、C&C)服務器進行通信,RAT 惡意軟件被認為同時使用了 DNS 和 HTTP 協議。
為了擴大其在受感染網絡中的覆蓋範圍,Lyceum 可以以 PowerShell 腳本的形式部署三個額外的工具——“ kl.ps1 ”是一個自定義構建的鍵盤記錄器,“ Get-LAPSP.ps1 ”利用 LDAP 從Active Directory 和“ Decrypt-RDCMan.ps1 ”,其任務是解密存儲在 RDCMan 配置文件中的憑據。
儘管到目前為止他們的活動僅限於特定區域,但來自 Lyceum 的黑客已經建立了攻擊鍊和有效的工具集,這可以讓他們輕鬆地對更廣泛的實體發起攻擊。
