Os hackers Lyceum são um grupo criminoso que foi encontrado para ser ser coordenar ataques contra alvos de alto perfil no Oriente Médio. As atividades do grupo estavam sob investigação por especialistas em segurança e lançado ao público. Pelos relatos, sabemos que o principal objetivo dos hackers do Lyceum é infectar empresas e organizações de petróleo e gás.
Organizações de petróleo e gás são alvos de hackers Lyceum
Os hackers do Lyceum são uma perigosa cooperativa de criminosos informáticos que atualmente têm como alvo alvos no Oriente Médio, especificamente empresas de petróleo e gás. Os movimentos mais recentes do coletivo parecem estar voltados para a coleta de dados de inteligência, em vez de qualquer sabotagem direta como visto com outros grupos. O grupo está ativo desde pelo menos o início de abril 2019 e sua campanha no ano passado foi feita principalmente contra alvos sul-africanos. Este ano, o grande ataque realizado em maio testando uma nova ferramenta de hacking desenvolvida pelo grupo.
O uso de sua solução personalizada é feito primeiro envolvendo-se em táticas de distribuição típicas. Os hackers usam tentativas de força bruta e spray de senha para invadir as caixas de e-mail das empresas. Quando eles se infiltram usando uma solução automatizada, os criminosos usam as caixas de entrada como remetentes de e-mails de phishing. Eles são enviados a outros proprietários de caixas de correio junto com arquivos de planilhas Excel de malware anexados. Quando são abertas, as macros apresentam uma ameaça personalizada conhecida como Malware DanBot que será usado para implantar outros pacotes perigosos.
Este é um Trojan de primeiro estágio que aproveitará as vantagens das técnicas básicas de infecção para fornecer recursos básicos de acesso remoto. Eles incluem o recebimento de comandos de hackers e a execução de comandos, bem como operações de transferência de arquivos.
Um componente associado do kit de ferramentas de hackers Lyceum é o Script DanDrop que é o componente de infecção que atua como gatilho e mecanismo para o verdadeiro Trojan. Três outros componentes fazem parte do kit de ferramentas usado pelos hackers:
- Keylogger - Este é um keylogger baseado em PowerShell que é usado para registrar a entrada do usuário nos hosts infectados.
- Infraestrutura de Comando e Controle - Este módulo será usado para comandar o processo de conexão do servidor.
- PowerShell Empire Framework - Este é um script baseado em PowerShell que é usado para cometer vários ataques.
Quando os hackers do Lyceum conseguem penetrar nos dispositivos alvo, eles podem executar várias ações e realizar operações comuns, como as seguintes:
- Roubo de dados - Os scripts podem ser comandados para roubar informações confidenciais dos computadores infectados. Podem ser dados que podem expor a identidade das vítimas, o que pode levar a crimes como roubo de identidade, chantagem e abuso financeiro. Se as informações da máquina forem adquiridas, elas podem ser usadas para expor
- Alterações do sistema - Ao usar os scripts e recursos integrados, os hackers do Lyceum podem modificar as configurações e arquivos de configuração do sistema levando a problemas sérios, perda de dados e erros inesperados.
- Entrega Malware adicional - Usando o script, os hackers podem entregar outro malware aos hosts infectados.
O que é perigoso sobre esses ataques é que, se forem bem-sucedidos, podem levar a um comprometimento muito perigoso e rápido em toda a rede de hosts corporativos. Por esta razão, pedimos aos administradores de sistema que monitorem de perto a atividade de seus servidores e dispositivos de gateway e os protejam de quaisquer ataques.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: