Lyceum APT

Los nombres de Lyceum y Hexane son designaciones infosec para el mismo grupo de hackers de Amenaza persistente avanzada (APT). Los delincuentes habían logrado operar bajo el radar durante casi un año antes de que sus actividades salieran a la superficie en agosto de 2019. Lyceum es un actor de amenazas altamente especializado que se centra en la recopilación de credenciales y la exfiltración de datos. Su objetivo es un grupo muy reducido de organizaciones ubicadas en una región geográfica específica: entidades de petróleo, gas y telecomunicaciones que están activas en el Medio Oriente.

Lyceum emplea una compleja cadena de ataque contra la víctima seleccionada que consta de múltiples etapas. Para hacerse un hueco dentro de la red del objetivo, los piratas informáticos utilizan varias tácticas de ingeniería social para entregar documentos de Microsoft Office envenenados. Algunos de los documentos que los investigadores de ciberseguridad han observado que Lyceum utiliza títulos atractivos o que despiertan la curiosidad del usuario, como 'Las peores contraseñas de 2017' o 'Las diez mejores prácticas de seguridad'. Otras veces, el documento está escrito íntegramente en árabe, lo que confirma el enfoque continuo del grupo en la región.

Si el usuario ejecuta el archivo envenenado, se activa un lanzador de malware llamado DanDrop , que es responsable de la entrega de la carga útil de malware real en la segunda etapa del ataque. DanDrop se inyecta en los documentos de MS como una macro de VBA. Para el punto final del ataque, Lyceum usa un troyano de acceso remoto (RAT) llamado DanBot . Para comunicarse con sus servidores de Comando y Control (C2, C&C), se considera que el malware RAT utiliza los protocolos DNS y HTTP.

Para expandir el alcance de su alcance dentro de la red comprometida, Lyceum puede implementar tres herramientas adicionales en forma de scripts de PowerShell: ' kl.ps1 ' es un registrador de teclas personalizado, ' Get-LAPSP.ps1 ' explota LDAP para recopilar datos de Active Directory y ' Decrypt-RDCMan.ps1 ' , que tiene la tarea de descifrar las credenciales almacenadas en el archivo de configuración de RDCMan.

Aunque sus actividades se han limitado a una región específica hasta ahora, los piratas informáticos de Lyceum han establecido una cadena de ataque y un conjunto de herramientas eficaz, que podría permitirles lanzar ataques fácilmente contra un conjunto más amplio de entidades.

Tendencias

Mas Visto

Cargando...