Lyceum APT

Die Namen von Lyceum und Hexane sind Infosec-Bezeichnungen für dieselbe Gruppe von Hackern mit Advanced Persistent Threat (APT). Die Kriminellen hatten es fast ein Jahr lang geschafft, unter dem Radar zu operieren, bevor ihre Aktivitäten im August 2019 an die Oberfläche gebracht wurden. Lyceum ist ein hochspezialisierter Bedrohungsakteur, der sich auf die Erfassung von Berechtigungsnachweisen und die Datenexfiltration konzentriert. Ihr Ziel ist eine sehr enge Gruppe von Organisationen, die sich in einer bestimmten geografischen Region befinden - Öl-, Gas- und Telekommunikationsunternehmen, die im Nahen Osten tätig sind.

Lyceum verwendet eine komplexe Angriffskette gegen das ausgewählte Opfer, die aus mehreren Stufen besteht. Um im Netzwerk des Ziels Fuß zu fassen, verwenden die Hacker verschiedene Social-Engineering-Taktiken, um vergiftete Microsoft Office-Dokumente bereitzustellen. Einige der Dokumente, von denen Cybersicherheitsforscher beobachtet haben, dass sie von Lyceum verwendet werden, erhalten verlockende Titel oder solche, die die Neugier des Benutzers wecken, wie z. B. "Die schlechtesten Passwörter von 2017" oder "Top Ten-Sicherheitspraktiken". In anderen Fällen ist das Dokument vollständig in arabischer Sprache verfasst, was den anhaltenden Fokus der Gruppe auf die Region bestätigt.

Wenn der Benutzer die vergiftete Datei ausführt, wird ein Malware-Dropper namens DanDrop ausgelöst, der für die Bereitstellung der tatsächlichen Malware-Nutzdaten in der zweiten Phase des Angriffs verantwortlich ist. DanDrop wird als VBA-Makro in die MS-Dokumente eingefügt. Für den Endpunkt des Angriffs verwendet Lyceum einen RAT (Remote Access Trojan) namens DanBot. Für die Kommunikation mit den Command-and-Control-Servern (C2, C & C) verwendet die RAT-Malware sowohl das DNS- als auch das HTTP-Protokoll.

Um die Reichweite innerhalb des gefährdeten Netzwerks zu erweitern, kann Lyceum drei zusätzliche Tools in Form von PowerShell-Skripten bereitstellen: ' kl.ps1 ' ist ein benutzerdefinierter Keylogger. ' Get-LAPSP.ps1 ' nutzt LDAP zum Sammeln von Daten Active Directory und ' Decrypt-RDCMan.ps1 ', das mit der Entschlüsselung der in der RDCMan-Konfigurationsdatei gespeicherten Anmeldeinformationen beauftragt ist.

Obwohl ihre Aktivitäten bisher auf eine bestimmte Region beschränkt waren, haben die Hacker von Lyceum eine Angriffskette und ein effektives Toolset eingerichtet, mit denen sie problemlos Angriffe gegen eine breitere Gruppe von Einheiten starten können.

Im Trend

Am häufigsten gesehen

Wird geladen...