正规黑客组织APT27私人联系方式接单(黑客组织LYCEUM浮出水面)

上周二(8月27日),戴尔旗下安全公司SecureWorks发表了一篇题为《LYCEUM Takes Center Stage in Middle East Campaign》的文章,一个名为“LYCEUM”(由SecureWorks命名)的黑客组织也随之被公...

黑客组织LYCEUM浮出水面,专注于从事工业间谍活动

上周二(8月27日),戴尔旗下安全公司SecureWorks发表了一篇题为《LYCEUM Takes Center Stage in Middle East Campaign》的文章,一个名为“LYCEUM”(由SecureWorks命名)的黑客组织也随之被公之于众。

SecureWorks在文章中指出,LYCEUM至少在2018年4月就已经开始运作,并且攻击的都是对于国家来说具有战略性意义的产业部门,如中东的石油和天然气公司,以及非洲和亚洲的电信公司。

从攻击手法上看,LYCEUM似乎与伊朗黑客组织COBALT GYPSY(也被称为OilRig、Crambus或APT34)以及COBALT TRINITY(也被称为Elfin或APT33)存在关联。但从SecureWorks观察到的恶意软件以及C2基础设施来看,LYCEUM与这两个黑客组织之间却存在着很大的差异。

LYCEUM工具包分析

SecureWorks表示,LYCEUM攻击的第一步是通过“密码喷洒(Password Spraying)”或“暴力破解(Brute-Force Attacks)”来获取对目标电子邮箱账户的访问,第二步则是利用这些账户来发动带有恶意Excel附件的钓鱼电子邮件,以传播DanBot恶意软件,进而部署其他的黑客工具。

具体来说,SecureWorks观察到的黑客工具包括:

DanBot-第一阶段远程访问木马(RAT),它使用基于DNS和HTTP的通信机制,并提供基本的远程访问功能,包括通过cmd.exe执行任意命令以及上传和下载文件的能力;DanDrop-嵌入在Excel XLS文件中的VBA宏,用于释放DanBot;kl.ps1-一个基于PowerShell的键盘记录器;Decrypt-RDCMan.ps1-PoshC2框架的一个组件;Get-LAPSP.ps1-一个来自PowerShell Empire框架的基于PowerView的脚本。

DanBot

DanBot是采用C#编写的,基于.NET Framework 2.0,提供了基本的远程访问功能,自2018年以来,就几乎没有进行过太大的更新。

图1展示了DanBot硬编码的用户代理中的一个拼写错误:操作系统值后面的“&”符号。代码中的其他拼写错误还包括关键元素之间缺少空格以及Accept-Encoding标头中的“Encoding”拼写错误。

黑客组织LYCEUM浮出水面,专注于从事工业间谍活动

图1. DanBot代码中的拼写错误

DanDrop

DanDrop被用来从恶意文档中提取DanBot,然后进行Base64解码并安装。和DanBot一样,自2018年以来,LYCEUM就几乎没有对它进行过太大的更新。

kl.ps1

kl.ps1是一个自定义的键盘记录程序,采用PowerShell编写,基于Microsoft .NET Core框架。它能够捕获受感染系统上的窗口标题和击键,并将它们存储为Base64编码数据。

黑客组织LYCEUM浮出水面,专注于从事工业间谍活动

图2.用来运行kl.ps1的命令行

Decrypt-RDCMan.ps1

Decrypt-RDCMan.ps1是PoshC2渗透测试框架的一个组件,用于解密存储在RDCMan配置文件中有关服务器的详细信息和凭证,以便快速建立远程桌面会话。

Get-LAPSP.ps1

Get-LAPSP.ps1是一个PowerShell脚本,能够通过LDAP从Active Directory(面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务)收集帐户信息。

恶意文档分析

2019年5月,一份恶意文档被上传到了一个在线病毒扫描存储库,其中包含了“Industrial Systems Control Programming(工业系统控制编程)”一词。

乍一看,这份文档是针对使用工业控制系统(ICS)或操作技术(OT)的个人编写的。但如果你仔细阅读,就会发现它是一份涉及多个部门的培训计划,包括高管、HR和IT人员。

基于这份文档,SecureWorks发现了在2018年与LYCEUM存在关联的几起攻击活动。

黑客组织LYCEUM浮出水面,专注于从事工业间谍活动

图3. LYCEUM在2018年活动中使用过的恶意文档

C2基础设施

在C2基础设施方面,LYCEUM使用了PublicDomainRegistry.com、Web4Africa和Hosting Concepts BV来注册C2域名,一般会在正式实施攻击的前几周完成注册。

黑客组织LYCEUM浮出水面,专注于从事工业间谍活动

图4. 疑似由LYCEUM注册的域名

结论

LYCEUM是一个对中东地区能源组织尤为感兴趣的黑客组织。从策略、技术和程序(TTP)来看,它似乎与伊朗黑客组织COBALT GYPSY和COBALT TRINITY存在关联,但它使用的恶意软件以及C2基础设施却与这两个黑客组织有很大区别。

尽管“密码喷洒(Password Spraying)”、“暴力破解(Brute-Force Attacks)”、社会工程、滥用安全测试框架是十分常见的策略,但LYCEUM的威胁性仍然不可小觑,尤其是它的网络间谍技术。

  • 发表于 2022-12-14 12:35:41
  • 阅读 ( 212 )
  • 分类:科技

0 条评论

请先 登录 后评论
浏览:41
浏览:41

628 篇文章

你可能感兴趣的文章

相关问题