De Lyceum hackers zijn een criminele groep die bleek te zijn coördineren aanvallen op high-profile doelen in het Midden-Oosten. De activiteiten van de groep waren in onderzoek bij security experts en vrijgegeven voor het publiek. Uit de verslagen weten we dat het belangrijkste doel van het Lyceum hackers is om olie en gas bedrijven en organisaties te infecteren.
Olie en Gas organisaties het doelwit zijn van The Lyceum Hackers
De Lyceum hackers zijn een gevaarlijke coöperatie van computer criminelen die op dit moment zijn gericht op het Midden-Oosten targets, met name olie en gas bedrijven. De laatste bewegingen van de collectieve lijkt te worden ingesteld op het verzamelen van gegevens van inlichtingendiensten in plaats van een directe sabotage zoals te zien met andere groepen. De groep is actief sinds ten minste begin april 2019 en hun campagne van vorig jaar werd gedaan in de eerste plaats tegen Zuid-Afrikaanse targets. Dit jaar is de grote aanval die werd uitgevoerd mei testen van een nieuw hacking tool ontwikkeld door de groep.
Het gebruik van hun aangepaste oplossing wordt gedaan door eerst de uitoefening van typische distributie tactiek. De hackers gebruik van brute kracht pogingen en wachtwoord spuiten in te breken in de e-mail inboxen van de bedrijven. En als zij hen hebben geïnfiltreerd met behulp van een geautomatiseerde oplossing zal de criminelen de inboxen te gebruiken als verzenders van phishing e-mails. Ze worden naar andere mailbox houders meegestuurd met aangehechte malware Excel-spreadsheets bestanden. Wanneer ze worden geopend zullen de macro's een aangepaste bedreiging die bekend staat als de te leveren DanBot malware die zal worden gebruikt om andere gevaarlijke pakketten implementeren.
Dit is een eerste trap Trojan die zullen profiteren van de fundamentele infectietechnieken om eenvoudige mogelijkheden voor externe toegang bieden. Zij omvatten het ontvangen van commando's van de hackers en de uitvoering van opdrachten, evenals de overdracht van bestanden.
Een geassocieerde deelneming component van het Lyceum hackers toolkit is de DanDrop script die de infectie component die fungeert als de trigger en het mechanisme voor de eigenlijke Trojan. Drie andere componenten maken deel uit van de toolkit gebruikt door de hackers:
- Keylogger - Dit is een PowerShell gebaseerde keylogger die wordt gebruikt om de gebruikersinvoer opnemen op de geïnfecteerde gastheren.
- Command and Control Infrastructure - Deze module zal worden gebruikt om de verbinding met de server proces commando.
- PowerShell Empire Framework - Dit is een PowerShell gebaseerde script dat wordt gebruikt om verschillende aanvallen te plegen.
Wanneer het Lyceum hackers in staat zijn om de beoogde apparaten die ze kunnen uitvoeren verschillende acties door te dringen en het uitvoeren van gemeenschappelijke operaties zijn geweest, zoals de volgende:
- Diefstal van gegevens - De scripts kunnen worden opgedragen om gevoelige informatie te stelen van de geïnfecteerde computers. Het kan ofwel gegevens die de identiteit van de slachtoffers die kan leiden tot misdaden zoals diefstal van identiteit kunnen blootstellen, chantage en financieel misbruik. Als de machine informatie wordt verkregen kan worden gebruikt om bloot te leggen
- System Wijzigingen - Door het gebruik van de scripts en de ingebouwde mogelijkheden van het Lyceum hackers kunnen de instellingen en configuratiebestanden van het systeem leidt tot ernstige problemen aan te passen, verlies van gegevens en onverwachte fouten.
- Extra Malware Delivery - Door het gebruik van het script van de hackers kunnen andere malware te leveren aan de geïnfecteerde hosts.
Wat is gevaarlijk over deze aanvallen is dat als ze succesvol zijn dat ze kunnen leiden tot een zeer gevaarlijke en snelle netwerk-breed compromis van enterprise hosts. Om deze reden dringen we systeembeheerders nauwlettend toezien op de activiteit van hun servers en gateway-apparaten en hen te beschermen tegen eventuele toekomstige aanvallen.