Der Lyceum Hacker ist eine kriminelle Gruppe, die gefunden wurde, Angriffe gegen hochkarätige Ziele im Nahen Osten zu koordinieren. Die Aktivitäten der Gruppe waren unter Untersuchung von Sicherheitsexperten und der Öffentlichkeit zugänglich gemacht. Aus den Berichten wissen wir, dass das Hauptziel des Lyceum Hacker ist Öl- und Gasunternehmen und Organisationen zu infizieren.
Öl- und Gas-Organisationen werden durch die Lyceum Hacker Gezielte
Die Lyceum Hacker sind eine gefährliche Kooperative von Computer-Kriminelle, die derzeit Targeting Naher Osten Ziele, insbesondere Öl- und Gasunternehmen. Die jüngsten Bewegungen des Kollektivs erscheinen die Sammlung von Informationen Daten zu setzen, anstatt eine direkte Sabotage wie bei anderen Gruppen gesehen. Die Gruppe hat seit mindestens Anfang April aktiv 2019 und ihre Kampagne im vergangenen Jahr wurde in erster Linie gegen die südafrikanischen Ziele getan. In diesem Jahr der große Angriff, die im Mai durchgeführt wurde, ein neues Hacking-Tool von der Gruppe entwickelte Prüfung.
Die Verwendung der benutzerdefinierten Lösung wird zunächst durch Eingriff in typischer Verteilung Taktik gemacht. Der Hacker benutzt Brute-Force-Versuche und Passwort in den E-Mail-Posteingang der Unternehmen zu brechen Spritzen. Als sie infiltriert haben sie eine automatisierte Lösung mit den Kriminellen werden die Postfächer als Absender von Phishing-Mails verwenden. Sie werden zusammen mit angebautem Malware Excel-Tabellen-Dateien in andere Mailboxinhaber gesendet. Wenn sie die Makros geöffnet werden, wird eine individuelle Bedrohung als die bekannte liefern DanBot Malware die verwendet werden, andere gefährliche Pakete bereitstellen.
Dies ist eine der ersten Stufe Trojaner, der die Vorteile der Grundinfektionstechniken treffen, um grundlegende Remote-Zugriffsmöglichkeiten zur Verfügung zu stellen. Sie umfassen den Empfang von Befehlen von den Hackern und die Ausführung von Befehlen, sowie Dateiübertragungsvorgänge.
Ein assoziiertes Komponente des Toolkits Lyceum Hacker ist DanDrop Skript die die Infektion Komponente, die als Auslöser wirkt, und der Mechanismus für die eigentliche Trojan. Drei weitere Komponenten sind Bestandteil des Toolkits von den Hackern verwendet:
- Keylogger - Dies ist ein Powershell-basierte Keylogger, die verwendet wird, um die Benutzereingabe auf den infizierten Rechner aufzeichnen.
- Command and Control-Infrastruktur - Dieses Modul wird verwendet, um den Server-Verbindungsprozess zu befehlen.
- Powershell-Reich-Framework - Dies ist ein Powershell-basiertes Skript, das verschiedene Angriffe zu begehen verwendet wird.
Wenn der Lyceum Hacker in der Lage gewesen, die Zielgeräte zu durchdringen sie verschiedene Aktionen ausführen können und gemeinsame Operationen durchführen wie die folgenden:
- Datendiebstahl - Die Skripte kann angewiesen werden, um sensible Informationen von den infizierten Computern zu stehlen. Es kann entweder Daten sein, die die Identität der Opfer aussetzen kann, die zu Verbrechen wie Identitätsdiebstahl führen können, Erpressung und finanzieller Missbrauch. Wenn Maschineninformationen erworben wird, kann es verwendet werden, um aussetzen
- Systemänderungen - Durch die Skripten und integrierte Funktionen der Lyceum Hacker kann die Einstellungen und Konfigurationsdateien des Systems führen zu ernsten Problemen ändern, Datenverlust und unerwartete Fehler.
- Zusätzliche Malware Lieferung - Durch das Skript die Hacker können andere Malware auf den infizierten Rechner liefern.
Was über diese Angriffe gefährlich ist, dass, wenn sie erfolgreich sind sie zu einem sehr gefährlichen und schnellen netzwerkweite Kompromiss von Enterprise-Hosts führen können. Aus diesem Grund fordern wir Systemadministratoren die Aktivität ihrer Server und Gateway-Geräte genau zu überwachen und sie von irgendwelchen bevorstehenden Angriffen schützen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: