Lyceum APT

Les noms de Lyceum et Hexane sont des désignations infosec pour le même groupe de pirates informatiques Advanced Persistent Threat (APT). Les criminels avaient réussi à opérer sous le radar pendant près d'un an avant que leurs activités ne soient ramenées à la surface en août 2019. Lyceum est un acteur hautement spécialisé qui se concentre sur la collecte d'informations d'identification et l'exfiltration de données. Leur cible est un groupe très restreint d'organisations situées dans une région géographique spécifique - les entités pétrolières, gazières et de télécommunications actives au Moyen-Orient.

Lyceum utilise une chaîne d'attaque complexe contre la victime sélectionnée qui se compose de plusieurs étapes. Pour prendre pied au sein du réseau de la cible, les pirates utilisent diverses tactiques d'ingénierie sociale pour fournir des documents Microsoft Office empoisonnés. Certains des documents que les chercheurs en cybersécurité ont observés comme étant utilisés par Lyceum reçoivent des titres attrayants ou qui piquent la curiosité de l'utilisateur, tels que `` Les pires mots de passe de 2017 '' ou `` Les dix meilleures pratiques de sécurité ''. D'autres fois, le document est entièrement rédigé en arabe, confirmant la concentration continue du groupe sur la région.

Si l'utilisateur exécute le fichier empoisonné, il déclenche un dropper de malware appelé DanDrop , qui est responsable de la livraison de la charge utile réelle du malware au cours de la deuxième étape de l'attaque. DanDrop est injecté dans les documents MS en tant que macro VBA. Pour le point final de l'attaque, Lyceum utilise un cheval de Troie d'accès à distance (RAT) nommé DanBot . Pour communiquer avec ses serveurs Command-and-Control (C2, C&C), le malware RAT utilise à la fois les protocoles DNS et HTTP.

Pour étendre la portée de sa portée au sein du réseau compromis, Lyceum peut déployer trois outils supplémentaires sous la forme de scripts PowerShell - ' kl.ps1 ' est un keylogger personnalisé, ' Get-LAPSP.ps1 ' exploite LDAP pour collecter des données à partir de Active Directory et « Decrypt-RDCMan.ps1 », qui est chargé de déchiffrer les informations d'identification stockées dans le fichier de configuration RDCMan.

Bien que leurs activités se soient jusqu'à présent limitées à une région spécifique, les pirates du Lyceum ont mis en place une chaîne d'attaque et un ensemble d'outils efficaces, qui pourraient leur permettre de lancer facilement des attaques contre un ensemble plus large d'entités.