上周二(8月27日),戴尔旗下安全公司SecureWorks发表了一篇题为《LYCEUM Takes Center Stage in Middle East Campaign》的文章,一个名为“LYCEUM”(由SecureWorks命名)的黑客组织也随之被公之于众。
SecureWorks在文章中指出,LYCEUM至少在2018年4月就已经开始运作,并且攻击的都是对于国家来说具有战略性意义的产业部门,如中东的石油和天然气公司,以及非洲和亚洲的电信公司。
从攻击手法上看,LYCEUM似乎与伊朗黑客组织COBALT GYPSY(也被称为OilRig、Crambus或APT34)以及COBALT TRINITY(也被称为Elfin或APT33)存在关联。但从SecureWorks观察到的恶意软件以及C2基础设施来看,LYCEUM与这两个黑客组织之间却存在着很大的差异。
LYCEUM工具包分析
SecureWorks表示,LYCEUM攻击的第一步是通过“密码喷洒(Password Spraying)”或“暴力破解(Brute-Force Attacks)”来获取对目标电子邮箱账户的访问,第二步则是利用这些账户来发动带有恶意Excel附件的钓鱼电子邮件,以传播DanBot恶意软件,进而部署其他的黑客工具。
具体来说,SecureWorks观察到的黑客工具包括:
DanBot-第一阶段远程访问木马(RAT),它使用基于DNS和HTTP的通信机制,并提供基本的远程访问功能,包括通过cmd.exe执行任意命令以及上传和下载文件的能力;DanDrop-嵌入在Excel XLS文件中的VBA宏,用于释放DanBot;kl.ps1-一个基于PowerShell的键盘记录器;Decrypt-RDCMan.ps1-PoshC2框架的一个组件;Get-LAPSP.ps1-一个来自PowerShell Empire框架的基于PowerView的脚本。
DanBot
DanBot是采用C#编写的,基于.NET Framework 2.0,提供了基本的远程访问功能,自2018年以来,就几乎没有进行过太大的更新。
图1展示了DanBot硬编码的用户代理中的一个拼写错误:操作系统值后面的“&”符号。代码中的其他拼写错误还包括关键元素之间缺少空格以及Accept-Encoding标头中的“Encoding”拼写错误。
图1. DanBot代码中的拼写错误
DanDrop
DanDrop被用来从恶意文档中提取DanBot,然后进行Base64解码并安装。和DanBot一样,自2018年以来,LYCEUM就几乎没有对它进行过太大的更新。
kl.ps1
kl.ps1是一个自定义的键盘记录程序,采用PowerShell编写,基于Microsoft .NET Core框架。它能够捕获受感染系统上的窗口标题和击键,并将它们存储为Base64编码数据。
图2.用来运行kl.ps1的命令行
Decrypt-RDCMan.ps1
Decrypt-RDCMan.ps1是PoshC2渗透测试框架的一个组件,用于解密存储在RDCMan配置文件中有关服务器的详细信息和凭证,以便快速建立远程桌面会话。
Get-LAPSP.ps1
Get-LAPSP.ps1是一个PowerShell脚本,能够通过LDAP从Active Directory(面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务)收集帐户信息。
恶意文档分析
2019年5月,一份恶意文档被上传到了一个在线病毒扫描存储库,其中包含了“Industrial Systems Control Programming(工业系统控制编程)”一词。
乍一看,这份文档是针对使用工业控制系统(ICS)或操作技术(OT)的个人编写的。但如果你仔细阅读,就会发现它是一份涉及多个部门的培训计划,包括高管、HR和IT人员。
基于这份文档,SecureWorks发现了在2018年与LYCEUM存在关联的几起攻击活动。
图3. LYCEUM在2018年活动中使用过的恶意文档
C2基础设施
在C2基础设施方面,LYCEUM使用了PublicDomainRegistry.com、Web4Africa和Hosting Concepts BV来注册C2域名,一般会在正式实施攻击的前几周完成注册。
图4. 疑似由LYCEUM注册的域名
结论
LYCEUM是一个对中东地区能源组织尤为感兴趣的黑客组织。从策略、技术和程序(TTP)来看,它似乎与伊朗黑客组织COBALT GYPSY和COBALT TRINITY存在关联,但它使用的恶意软件以及C2基础设施却与这两个黑客组织有很大区别。
尽管“密码喷洒(Password Spraying)”、“暴力破解(Brute-Force Attacks)”、社会工程、滥用安全测试框架是十分常见的策略,但LYCEUM的威胁性仍然不可小觑,尤其是它的网络间谍技术。