Lyceum hackere er en kriminel gruppe, der viste sig at være koordinerer angreb mod højt profilerede mål i Mellemøsten. Aktiviteterne i gruppen var under efterforskning af sikkerhedseksperter og frigivet til offentligheden. Fra de rapporter, vi ved, at det vigtigste mål for Lyceum hackere er at inficere olie- og gasselskaber og organisationer.
Olie og Gas Organisationer opsøges af Lyceum hackere
Lyceum hackere er en farlig kooperativ af it-kriminelle, der i øjeblikket rettet mod Mellemøsten mål, specielt olie og gas virksomheder. De seneste bevægelser kollektive ser ud til at være indstillet på at indsamle efterretninger data snarere end nogen direkte sabotage som set med andre grupper. Gruppen har været aktiv i hvert fald siden begyndelsen af april 2019 og deres kampagne sidste år blev gjort primært mod sydafrikanske mål. I år større angreb, som blev gennemført i maj teste en ny hacking værktøj udviklet af gruppen.
Brugen af deres skik løsning gøres ved først at engagere sig i typiske fordeling taktik. Hackerne bruger brute force forsøg og adgangskode sprøjtning at bryde i e-mail-indbakker i de selskaber,. Når de har infiltreret dem ved hjælp af en automatiseret løsning de kriminelle vil bruge indbakker som afsendere af phishing e-mails. De sendes til andre mailbox indehavere sammen med vedhæftede malware Excel regneark filer. Når de åbnes makroerne vil levere en brugerdefineret trussel kendt som DanBot malware som vil blive brugt til at implementere andre farlige pakker.
Dette er en første trins Trojan, som vil drage fordel af de basale infektionsteknikker for at tilvejebringe basale fjernadgang kapaciteter. De omfatter modtagelse af kommandoer fra hackere og udførelse af kommandoer, samt filoverførsel operationer.
En associeret komponent af Lyceum hackere toolkit er den DanDrop script som er infektionen komponent, der virker som udløser og mekanismen for den faktiske trojanske. Tre andre elementer indgår i værktøjskassen anvendes af hackere:
- Keylogger - Dette er en PowerShell-baserede keylogger, som bruges til at registrere brugerens input på de inficerede værter.
- Kommando og kontrol Infrastruktur - Dette modul vil blive brugt til at kommandere forbindelsen stævningsmand.
- PowerShell Empire Framework - Dette er en PowerShell-baserede script, som bruges til at begå forskellige angreb.
Når Lyceum hackere har været i stand til at trænge ind i målenheder de kan udføre forskellige aktioner og udføre almindelige operationer som følgende:
- datatyveri - De scripts kan beordres til at stjæle følsomme oplysninger fra de inficerede computere. Det kan enten være data, der kan afsløre identiteten af ofrene, som kan føre til forbrydelser som identitetstyveri, afpresning og økonomisk udnyttelse. Hvis der erhverves maskine oplysninger kan bruges til at eksponere
- System Ændringer - Ved at bruge scripts og indbyggede funktioner Lyceum hackere kan ændre indstillingerne og konfigurationsfiler i systemet, der fører til alvorlige problemer, datatab og uventede fejl.
- Yderligere Malware Levering - Ved at bruge scriptet hackere kan levere andre malware til de inficerede værter.
Hvad er farligt om disse angreb er, at hvis de har succes, de kan føre til en meget farlig og hurtig hele netværket kompromis af virksomhedens værter. Derfor opfordrer vi systemadministratorer til nøje at overvåge aktiviteten af deres servere og gateway-enheder og beskytte dem mod eventuelle kommende angreb.