LYCEUM APT构造针对中东天然气、石油基础设施的进击剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

LYCEUM APT构造针对中东天然气、石油基础设施的进击剖析

申博_新闻事件 申博 71次浏览 已收录 0个评论

LYCEUM APT构造重要针对的是具有战略性国度重要性的部门,包括石油和天然气以及通讯行业。

LYCEUM最早能够在2018年4月最先运作。域名注册表明,2018年中期的一项活动重要针对南非目的,在2019年5月,LYCEUM APT构造发起了一场针对中东石油和天然气构造的活动。此活动在2019年2月针对供应商歹意软件效劳开辟东西包后急剧上升。

在作风上,观察到的IOCs手艺类似于COBALT GYPSY(与OilRig,Crambus和APT34相干)和COBALT TRINITY(也称为Elfin和APT33)等APT的活动。

LYCEUM东西包

LYCEUM最初经由过程暴力进击取得帐户凭据。LYCEUM APT构造发送带有歹意Excel附件的垂纶邮件,用于发送DanBot歹意软件。

CTU研究职员剖析发明LYCEUM运用以下工:

· DanBot – 第一阶段长途接见木马(RAT),运用基于DNS和HTTP的通讯机制,供应基本的长途接见功用,包括经由过程cmd.exe实行恣意敕令以及上传和下载文件的才能

· DanDrop – 嵌入在Excel XLS文件中的VBA宏,用于删除DanBot

· kl.ps1 – 基于PowerShell的键盘纪录器

· Decrypt-RDCMan.ps1 – PoshC2框架的一部分

· Get-LAPSP.ps1 – 来自PowerShell Empire框架的基于PowerView的剧本

DanBot

DanBot运用.NET Framework 2.0用C#编写,并供应基本的长途接见功用。DanBot的C2协定的DNS通道运用IPv4 A纪录和IPv6 AAAA纪录举行通讯。自2018年终的样本以来,HTTP通道略有不同,但一直保留了雷同的功用。

图1显现了DanBot硬编码用户代办中的拼写错误:操纵体系值以后的&标记。代码中的其他拼写错误包括症结元素之间缺少空格以及Accept-Encoding标头中的编码拼写错误。CTU研究职员剖析的一切DanBot样本中一直运用“Accept-Enconding”(注意分外的’n’)。该印刷错误能够增加对C2协定的基于HTTP的网络检测。

LYCEUM APT构造针对中东天然气、石油基础设施的进击剖析

图1.初期的2019年DanBot示例HTTP请求

DanDrop

LYCEUM APT构造运用此歹意宏从兵器化文档中提取DanBot payload,然后运用设计任务Base64解码并装置歹意软件。宏的基本形式和功用在剖析的样本中坚持稳定,然则LYCEUM APT构造已举行了渐进式革新以殽杂宏并重构某些功用。

kl.ps1

kl.ps1是一个自定义键盘纪录顺序,它运用PowerShell编写并应用Microsoft .NET Core框架的元素。它捕捉受感染体系上的窗口题目和按键,并将它们存储为Base64编码数据。它运用设计任务和VBScript文件举行布置。图2显现了用于运转键盘纪录器剧本的敕令行。

LYCEUM APT构造针对中东天然气、石油基础设施的进击剖析

图2.重修的PowerShell敕令

Microsoft Teams可被用来实行恣意payload

Microsoft Teams是一款基于聊天的智能团队协作工具,可以同步进行文档共享,并为成员提供包括语音、视频会议在内的即时通讯工具。攻击者可以用Microsoft Teams的mock installation文件夹中的真实二进制文件来执行恶意payload。 该问题影响大多数使用Squirrel安装和更新框架的Windows桌面APP,该开使用NuGet包。研究人员测试发现受影响的应用包括WhatsApp, Grammarly, GitHub, Slack 和 Discord。 易构建包 逆向工程师Reegun Richard发现他可以创建一个伪造的Microsoft Teams包,并使用

Decrypt-RDCMan.ps1

Decrypt-RDCMan.ps1是PoshC2渗入测试框架的一个组件。它用于解密存储在RDCMan配置文件中的暗码,该文件存储效劳器和加密凭据的详细信息,以疾速竖立长途桌面会话。恢复的凭据能够使要挟参与者在环境中取得分外的接见权限。LYCEUM在取得初始接见受损环境约一小时后经由过程DanBot布置此东西。

GET-LAPSP.ps1

Get-LAPSP.ps1是一个PowerShell剧本,经由过程LDAP从Active Directory网络帐户信息。它包括开源的代码,而且已运用诸如invoke-obfuscation之类的殽杂剧本运转。LYCEUM在首次接见受损环境后不久就经由过程DanBot布置了此东西。

进击HR和IT

2019年5月上传到在线病毒扫描库的歹意文档(maldoc)包括短语“产业体系掌握编程”。对文档内容的剖析会得出结论,本文档适用于运用产业掌握体系(ICS)或操纵手艺(OT)的个人。然则,本文档的实在内容是逾越多个部门的培训设计,个中ICS位居榜首。这类对培训的关注与LYCEUM针对高管,人力资源员工和IT职员的目的坚持一致。

LYCEUM经由过程鱼叉式网络垂纶从遭到进击的账户向目的高管,人力资源(HR)员工和IT职员供应兵器化的maldocs。假如收件人来自内部地点,则收件人更有能够翻开邮件。个人人力资源账户能够会发生信息和帐户接见权限,可用于目的环境中的其他鱼叉式网络垂纶操纵以及相干构造。IT职员能够接见高权限帐户和文档,这些帐户和文档能够协助LYCEUM APT构造相识环境,而无需自觉阅读网络以查找感兴致的数据和体系。

CTU研究职员运用“平安最好实践”主题肯定了2018年的几个活动(见图3)。

LYCEUM APT构造针对中东天然气、石油基础设施的进击剖析

图3. 2018年LYCEUM活动中运用的网络垂纶钓饵。歹意Excel文件抛弃了DanBot变体。

只管最初以为maldoc样本是用于ICS或OT事情职员,但LYCEUM并未表现出对这些环境的兴致。然则,CTU研究职员没法无视LYCEUM APT构造在竖立对IT环境的壮大接见权后能够追求接见OT环境的能够性。接见和经由过程IT环境通常是针对OT环境的先决条件。

掌握基本设施

LYCEUM运用PublicDomainRegistry.com,Web4Africa和Hosting Concepts BV注册商注册基本架构。新域名好像已针对各个广告系列举行注册,LYCEUM APT构造会在注册后的几周内运用该域名。

图4列出了已知和可疑的LYCEUM基本构造以及相干的创建和到期数据。

LYCEUM APT构造针对中东天然气、石油基础设施的进击剖析

图4.已知和疑心LYCEUM操纵域的列表。

结论

LYCEUM构造是针对中东动力构造的新兴要挟,但不应当假定该构造将来的目的仅限于该范畴。除了布置新型歹意软件外,LYCEUM的活动还展现了CTU研究职员从其他要挟组中观察到的才能,并强化了一些症结掌握的功用。DNS隧道,社会工程和运用平安测试框架是罕见的战略,特别是来自中东地区的要挟构造。虽然有很多平安掌握能够减轻LYCEUM入侵的各个方面,但CTU研究职员发起以下内容供应适用于一系列要挟的普遍庇护和检测功用:

· 实行多重身份验证(MFA) – Internet上可用的每一个企业长途接见效劳(包括Office 365 / Outlook,外部假造专用网络(VPN)和单点登录(SSO)页面等云应用顺序)都应当请求用户除通例暗码外还供应一次性暗码。

· 经由过程端点检测,相应和日记纪录进步可见性 – 事宜相应事情通常因环境缺少可见性而遭到障碍。这类状况多是因为缺少日记。

· 举行应急相应演习 – 手艺处理方案没法处理一切网络平安风险。造就一种注意平安意识并使员工在危急中高效事情的文明,能够下降平安事故的整体频次,影响和本钱。

IOCs

LYCEUM APT构造针对中东天然气、石油基础设施的进击剖析

本文翻译自:https://www.secureworks.com/blog/lyceum-takes-center-stage-in-middle-east-campaign


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明LYCEUM APT构造针对中东天然气、石油基础设施的进击剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址