新APT组织潜入中东地区，瞄准当地能源企业

本月，本已熙熙攘攘的中东网络间谍大军中又新增一个 APT 组织，自2018年年中以来，该组织就一直在攻击中东地区。

Secureworks 公司将其命名为 Lyceum，Dragos 公司将其命名为 Hexane，该组织主要关注的是中东当地能源企业。Dragos 公司在本月初发布的一份报告中指出，该 APT 组织一再攻击中东地区的石油和天然气公司，其中“科威特是主要的目标行动地区”。

虽然Lyceum组织发动的很多攻击针对的是能源企业，但该组织也攻击位于大中东地区、中亚地区和非洲地区的电信提供商。Dragos 公司指出，“可能是发动网络中间人攻击和相关攻击的垫脚石。”

但除了这些罕见的攻击活动外，Lyceum 组织的大量活动主要集中在能源企业中。Secureworks 公司表示曾在今年5月份检测到该组织对石油和天然气公司的攻击活动高峰，“是2019年2月份在针对公开的多向量恶意软件扫描服务的工具集开发和测试高峰”之后发生的。

攻击模式简单有效

Secureworks 公司解释称Lyceum 组织发动的攻击活动简单但非常有效。首先，Lyceum 成员使用多种技术如暴力攻击等攻陷目标组织机构的个人邮件账户。

攻击的第二阶段是使用遭攻陷的邮件账户向受害者同事发送鱼叉式钓鱼邮件。这些邮件将会传播恶意 Excel 文件，试图以恶意软件感染位于同样组织机构中的其他用户。第二阶段的攻击目标是组织机构的高管、人力资源员工和IT人员。这些 Excel 文件将包括名为 DanDrop 的有效负载，它是一个 VBA 宏脚本，能够以 C# 远程访问木马 (RAT) DanBot感染受害者。

Lyceum 组织之后使用 DanBot RAT 在受害者系统下载并运行其它恶意软件，它们多数是 PowerShell 脚本，具有密码读取、横向移动或键盘记录功能。

运作方式类似伊朗黑客组织

Lyceum 组织的运作方式并不新鲜，曾被很多其它专注金融和间谍活动的黑客组织使用过。

Dragos 和 Secureworks 公司并未将该组织和任何特定国家的网络间谍组织联系在一起。尽管如此，这两家公司表示，Lyceum 组织所使用的战术、技术和程序 (TTPs) 类似于被指和伊朗有关的 APT33 和 APT34 网络间谍组织。

Secureworks 公司反威胁部门的高级安全研究员 Rafe Pilling 表示，“我们对归属问题保持开放态度。我们使用了‘从风格上’一词，因为我们并未掌握具体的技术证据，将 LLYCEUM 和其它已知的威胁组织联系在一起，包括被指源自伊朗如 COBALT TRINITY （即APT33）或 COBALT BYPSY （和 APT34有关）的那些组织。然而，LYCEUM 结合使用密码喷涂、自定义恶意软件、DNS 信道、鱼叉式钓鱼专题和红队框架的做法让我们向其从伊朗黑客组织中观察到的内容。”

目前网络安全公司尚未掌握 Lyceum 组织和某个具体国家之间存在关联的证据，其目标预计仍集中在能源领域，而这也是大多数攻击中东地区的网络间谍组织的目的所在。

原文链接

https://www.zdnet.com/article/middle-east-cyber-espionage-is-heating-up-with-a-new-group-joining-the-fold/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。