El grupo de amenaza LYCEUM se dirige a organizaciones en sectores de importancia nacional estratégica, incluidos el petróleo y el gas y posiblemente las telecomunicaciones. La actividad observada por los investigadores de Secureworks® Counter Threat Unit ™ (CTU) se centra en obtener y expandir el acceso dentro de una red específica.

La investigación de CTU ™ indica que LYCEUM puede haber estado activo desde abril de 2018. Los registros de dominio sugieren que una campaña a mediados de 2018 se centró en objetivos sudafricanos. En mayo de 2019, el grupo de amenaza lanzó una campaña contra las organizaciones de petróleo y gas en el Medio Oriente. Esta campaña siguió a un fuerte aumento en el desarrollo y las pruebas de su kit de herramientas contra un servicio público de escaneo de malware de múltiples proveedores en febrero de 2019.

Estilísticamente, el tradecraft observado se asemeja a la actividad de grupos como COBALT GYPSY (que está relacionado con OilRig, Crambus y APT34) y COBALT TRINITY (también conocido como Elfin y APT33). Sin embargo, ninguno de los malware o infraestructura recopilados asociados con LYCEUM tiene enlaces directos a la actividad observada de estos u otros grupos de amenazas conocidos. A partir de esta publicación, no hay pruebas técnicas suficientes para respaldar una evaluación de atribución.

Cuando los investigadores de CTU publicaron por primera vez información sobre LYCEUM para los clientes de Secureworks Threat Intelligence, no existía documentación pública sobre el grupo. Desde entonces, han surgido informes que se refieren al grupo de amenazas como HEXANO.

El juego de herramientas LYCEUM

LYCEUM accede inicialmente a una organización utilizando credenciales de cuenta obtenidas a través de pulverización de contraseñas o ataques de fuerza bruta. Utilizando cuentas comprometidas, los actores de amenazas envían correos electrónicos de spearphishing con archivos adjuntos maliciosos de Excel para entregar el malware DanBot, que posteriormente implementa herramientas posteriores a la intrusión.

Los investigadores de la CTU han observado LYCEUM utilizando las siguientes herramientas:

• danbot - Un troyano de acceso remoto (RAT) de primera etapa que utiliza mecanismos de comunicación basados ​​en DNS y HTTP y proporciona la capacidad básica de acceso remoto, incluidas las capacidades para ejecutar comandos arbitrarios a través de cmd.exe y para cargar y descargar archivos
• DanDrop - Una macro VBA incrustada en un archivo XLS de Excel que se usa para soltar DanBot
• kl.ps1 - Un keylogger basado en PowerShell
• Descifrar-RDCMan.ps1 - Parte de EleganteC2 marco
• Obtener LAPSP.ps1 - Un script basado en PowerView del marco de PowerShell Empire

danbot

DanBot está escrito en C # usando .NET Framework 2.0 y proporciona capacidades básicas de acceso remoto. El canal DNS del protocolo C2 de DanBot utiliza tanto registros IPv4 A como registros AAAA IPv6 para la comunicación. El canal HTTP ha evolucionado ligeramente desde principios de las muestras de 2018, pero conserva elementos comunes en todo momento.

La Figura 1 muestra un error tipográfico en el User-Agent codificado de DanBot: un ampersand después del valor del sistema operativo. Otros errores tipográficos en el código incluyen espacios faltantes entre elementos clave y la falta de ortografía de 'Codificación' en el encabezado Accept-Encoding. El desarrollador usó constantemente "Accept-Enconding" (tenga en cuenta la 'n' adicional) en todas las muestras de DanBot analizadas por los investigadores de CTU. Este error tipográfico puede facilitar la detección de red para los elementos basados ​​en HTTP del protocolo C2.

Figura 1. Solicitud HTTP de muestra DanBot de principios de 2019. (Fuente: Secureworks)

DanDrop

Los actores de la amenaza usan esta macro maliciosa para extraer la carga útil de DanBot del documento armado y luego decodifican e instalan Base64 el malware utilizando una tarea programada. La forma básica y la función de la macro se han mantenido constantes en las muestras analizadas, pero los actores de la amenaza han realizado mejoras incrementales para ofuscar la macro y refactorizar parte de la funcionalidad.

kl.ps1

kl.ps1 es un keylogger personalizado que está escrito en PowerShell y aprovecha elementos del marco Microsoft .NET Core. Captura el título de la ventana y las pulsaciones de teclas en los sistemas infectados y los almacena como datos codificados en Base64. Se implementa mediante una tarea programada y un archivo VBScript. La Figura 2 muestra la línea de comando utilizada para ejecutar el script del keylogger.

Figura 2. Comando reconstruido de PowerShell. (Fuente: Secureworks)

Descifrar-RDCMan.ps1

Descifrar-RDCMan.ps1 es un componente de la EleganteC2 marco de pruebas de penetración. Se utiliza para descifrar contraseñas almacenadas en el archivo de configuración RDCMan, que almacena detalles de servidores y credenciales cifradas para establecer rápidamente sesiones de escritorio remotas. Las credenciales recuperadas podrían dar a los actores de la amenaza acceso adicional dentro del entorno. LYCEUM implementó esta herramienta a través de DanBot aproximadamente una hora después de obtener acceso inicial a un entorno comprometido.

Obtener LAPSP.ps1

Get-LAPSP.ps1 es un script de PowerShell que recopila información de la cuenta de Active Directory a través de LDAP. Parece contener prestado código y se ha ejecutado con un script de ofuscación como invocación-ofuscación. LYCEUM implementó esta herramienta a través de DanBot poco después de obtener acceso inicial a un entorno comprometido.

Primeras paradas en una nueva organización: RRHH y TI

Un documento malicioso (maldoc) que se cargó en un depósito de detección de virus en línea en mayo de 2019 contiene la frase "Programación de control de sistemas industriales". Un análisis superficial del contenido del documento podría concluir que este documento estaba destinado a personas que trabajan con sistemas de control industrial (ICS) o tecnología operativa (OT). Sin embargo, el verdadero contenido de este documento es un programa de capacitación que abarca varios departamentos, y ICS es el primero en la lista. Este enfoque en la capacitación se alinea con el objetivo de LYCEUM de ejecutivos, personal de recursos humanos y personal de TI.

LYCEUM entrega maldocs armados a través de spearphishing de las cuentas comprometidas a los ejecutivos, personal de recursos humanos (HR) y personal de TI. Es más probable que el destinatario abra un mensaje si se origina en una dirección interna. Comprometer las cuentas individuales de RR. HH. Podría generar información y acceso a la cuenta que podría utilizarse en operaciones adicionales de spearphishing dentro del entorno objetivo y contra las organizaciones asociadas. El personal de TI tiene acceso a cuentas y documentación de alto privilegio que podrían ayudar a los actores de la amenaza a comprender el entorno sin navegar ciegamente por la red para encontrar datos y sistemas de interés.

Los investigadores de la CTU identificaron varias campañas de 2018 utilizando un tema de "mejores prácticas de seguridad" (ver Figura 3).

Figura 3. señuelos de phishing utilizados en la campaña LYCEUM 2018. Los archivos maliciosos de Excel descartaron las variantes de DanBot. (Fuente: Secureworks)

No hay evidencia de objetivos o capacidades de ICS

A pesar de la percepción inicial de que la muestra de maldoc estaba destinada al personal de ICS u OT, LYCEUM no ha demostrado interés en esos entornos. Sin embargo, los investigadores de CTU no pueden descartar la posibilidad de que los actores de la amenaza puedan buscar acceso a entornos OT después de establecer un acceso robusto al entorno de TI. El acceso al entorno de TI y a través de él es a menudo un requisito previo para apuntar a un entorno OT.

Infraestructura de comando y control

Infraestructura registrada LYCEUM utilizando los registradores PublicDomainRegistry.com, Web4Africa y Hosting Concepts BV. Los nuevos dominios parecen estar registrados para campañas individuales, y los actores de amenazas generalmente usan el dominio dentro de unas pocas semanas de registro. Los dominios LYCEUM C2 suelen tener un tema de seguridad o tecnología web. La Figura 4 enumera la infraestructura LYCEUM conocida y sospechada y los datos de creación y caducidad asociados.

Figura 4. Lista de dominios operados por LYCEUM conocidos y sospechosos. (Fuente: Secureworks)

Conclusión

LYCEUM es una amenaza emergente para las organizaciones energéticas en el Medio Oriente, pero las organizaciones no deben asumir que la focalización futura se limitará a este sector. Las organizaciones de infraestructura crítica, en particular, deben tomar nota del oficio del grupo de amenazas. Además de implementar malware novedoso, la actividad de LYCEUM demuestra las capacidades que los investigadores de CTU han observado en otros grupos de amenazas y refuerza el valor de algunos controles clave. La propagación de contraseñas, el túnel de DNS, la ingeniería social y el abuso de los marcos de prueba de seguridad son tácticas comunes, particularmente de los grupos de amenazas que operan en el Medio Oriente. Si bien existen muchos controles de seguridad que podrían mitigar aspectos de una intrusión LYCEUM, los investigadores de CTU recomiendan lo siguiente para brindar amplias capacidades de protección y detección que se aplican a un espectro de amenazas:

• Implemente la autenticación multifactor (MFA): todos los servicios corporativos de acceso remoto disponibles en Internet, incluidas las aplicaciones en la nube como Office 365 / Outlook, redes privadas virtuales externas (VPN) y páginas de inicio de sesión único (SSO), deben requerir usuarios para proporcionar una contraseña de un solo uso además de su contraseña habitual. Sin embargo, el simple envío de correos electrónicos de inscripción automática puede permitir que los actores de amenazas se inscriban utilizando cuentas comprometidas y continúen sus operaciones sin obstáculos.
• Aumente la visibilidad a través de la detección, respuesta y registro del punto final: los esfuerzos de respuesta a incidentes a menudo se ven obstaculizados por la falta de visibilidad en el entorno. Esta condición puede deberse a la ausencia de registros que permitan a los defensores de la red reconstruir forense lo que sucedió o herramientas insuficientes para monitorear la actividad continua del actor de amenaza. Las herramientas de monitoreo de punto final son esenciales para detectar actividad sospechosa en el medio ambiente después de que se hayan evadido otros controles.
• Realice ejercicios de preparación: las soluciones tecnológicas no pueden abordar todos los riesgos de ciberseguridad. Los empleados son tanto vulnerabilidades como activos. Fomentar una cultura que se centre en la conciencia de seguridad y facilite que el personal trabaje eficientemente en una crisis reduce la frecuencia general, el impacto y el costo de los incidentes de seguridad.
  • Respuesta a incidentes: los ejercicios de sobremesa pueden beneficiar a las organizaciones en diferentes etapas. Involucrar a los interesados ​​de los grupos legales, de relaciones públicas y otros en toda la organización proporciona información sobre qué datos son y no son importantes y por qué. Esta capacitación permitirá al personal contactar a las personas correctas dentro y fuera de la organización cuando ocurra un incidente.
  • Conocimiento de suplantación de identidad (phishing): reforzar continuamente la capacitación sobre el reconocimiento de suplantación de identidad (phishing) y brindar a los usuarios una manera fácil de informar mensajes sospechosos ayuda a detectar las campañas de suplantación de identidad de manera temprana Las organizaciones deben tener procesos para una respuesta rápida y contención si un usuario ejecuta una carga maliciosa.

Indicadores de amenaza

Para mitigar la exposición a este malware, los investigadores de CTU recomiendan que las organizaciones usen los controles disponibles para revisar y restringir el acceso utilizando los indicadores enumerados en la Tabla 1. Tenga en cuenta que las direcciones IP pueden reasignarse. Las direcciones IP y los dominios pueden contener contenido malicioso, así que considere los riesgos antes de abrirlos en un navegador.

Fuente: https://www.secureworks.com/blog/lyceum-takes-center-stage-in-middle-east-campaign