新Lyceum黑客组织主要针对中东的石油和天然气公司，以及非洲和亚洲的电信公司。

概览

本月中东网络间谍活动变得更加频繁，研究人员发现了一个自2018年中期以来一直瞄准该地区的新黑客组织。

该黑客组织名为Lyceum（Secureworks命名）或Hexane（Dragos命名），研究表面其主要关注当地的能源部门。

在本月早些时候发布的一份报告中，ICS安全公司Dragos表示，Lyceum持续针对中东的石油和天然气公司，“科威特是其主要的活动区域”。除了主要针对能源领域公司外，但该组织攻击中东、中亚和非洲地区的电信公司。

在另一份今天发布的报告中，Secureworks表示，它发现今年5月针对石油和天然气公司的Lyceum攻击活动激增。

鱼叉式网络钓鱼攻击

Secureworks解释称，Lyceum的攻击遵循一种简单但非常有效的模式。首先，Lyceum黑客利用密码喷涂和暴力攻击等技术来破坏目标组织的个人电子邮件帐户。

在攻击的第二阶段，Lyceum黑客会使用已感染的电子邮件帐户向受害者的同事发送鱼叉式网络钓鱼电子邮件。这些电子邮件会传递恶意Excel文件，这些文件会尝试使用恶意软件继续感染同一组织中的其他用户。第二阶段鱼叉式网络钓鱼活动的最终目标是同一组织中的高管、人力资源和IT人员。

2018年LYCEUM活动中使用的网络钓鱼诱饵文件

恶意Excel文件丢弃了DanBot变体

其中传递的Excel文件包含一个名为DanDrop的恶意有效负载，实际上是一个VBA宏脚本，可以通过C＃远程访问木马（RAT）——DanBot来感染受害者。

随后，Lyceum黑客利用DanBot在受害者系统上下载并运行其他恶意软件，其中大多数是具有密码转储、后续移动或键盘记录功能的PowerShell脚本。

Lyceum与伊朗黑客组织相似

Dragos和Secureworks都没有将该黑客组织与任何特定国家的网络间谍活动联系起来。“我们对（Lyceum黑客组织的）归属问题保持开放态度，”Securework公司的高级安全研究员Rafe Pilling表示。

尽管如此，Dragos和Secureworks都已经将其记录在案，并表示Lyceum使用的策略，技术和程序（TTPs）类似于APT33和APT34，这两个网络间谍组织历来被认为与伊朗有关。然而，收集到的与Lyceum相关的恶意软件或基础设施都没有直接链接到APT33、APT34或其他已知威胁组织的一系列活动中。

本文转载自：MottoIN

原文链接：http://www.mottoin.com/detail/4177.html

原文作者：Gump