Lyceum APT

LyceumとHexaneの名前は、同じAdvanced Persistent Threat(APT)グループのハッカーのinfosec指定です。犯罪者は、2019年8月に活動が表面化する前に、ほぼ1年間レーダーの下で活動していました。ライシーアムは、資格情報の収集とデータの漏えいに焦点を当てた高度に専門化された脅威アクターです。彼らは、中東で活動している石油、ガス、電気通信事業体など、特定の地理的地域にある非常に狭いグループの組織を対象としています。

Lyceumは、選択された被害者に対して、複数のステージで構成される複雑な攻撃チェーンを採用しています。ハッカーは、標的のネットワーク内に足場を築くために、さまざまなソーシャルエンジニアリング戦術を使用して、汚染されたMicrosoftOfficeドキュメントを配信します。サイバーセキュリティ研究者がLyceumによって使用されていることが確認されたドキュメントの一部には、「2017年の最悪のパスワード」や「トップ10のセキュリティ慣行」など、魅力的なタイトルやユーザーの好奇心をそそるタイトルが付けられています。また、文書は完全にアラビア語で書かれており、グループがこの地域に引き続き注力していることを確認しています。

ユーザーがポイズニングされたファイルを実行すると、DanDropと呼ばれるマルウェアドロッパーがトリガーされます。DanDropは、攻撃の第2段階で実際のマルウェアペイロードの配信を担当します。 DanDropは、VBAマクロとしてMSドキュメントに挿入されます。攻撃のエンドポイントとして、LyceumはDanBotという名前のリモートアクセストロイの木馬(RAT)を使用します。 Command-and-Control(C2、C&C)サーバーと通信するために、RATマルウェアはDNSプロトコルとHTTPプロトコルの両方を使用しているように見えます。

侵害されたネットワーク内での到達範囲を拡大するために、LyceumはPowerShellスクリプトの形式で3つの追加ツールを展開できます-'kl.ps1 'はカスタムビルドのキーロガーであり、' Get-LAPSP.ps1 'はLDAPを利用してデータを収集しますActive Directory、および ' Decrypt-RDCMan.ps1 'は、RDCMan構成ファイル内に格納されている資格情報の復号化を担当します。

これまでのところ、活動は特定の地域に限定されていますが、Lyceumのハッカーは、攻撃チェーンと効果的なツールセットを確立しており、より広範なエンティティに対して簡単に攻撃を仕掛けることができます。

トレンド

最も見られました

読み込んでいます...