Lyceum组织针对高科技芯片行业攻击活动的简要分析

APT 2年前 (2022) admin
572 0 0
Lyceum

Lyceum是一个很少被曝光的威胁组织,在仅有的几次攻击披露中,主要以中东和非洲为主要目标。该组织的活动最早可追溯到2018年4月,因为攻击中东石油和天然气、电信公司而逐渐被发现。

在针对其最近的活动分析后发现,Lyceum主要针对突尼斯进行了集中的信息窃取。同时我们也发现Lyceum与APT34等伊朗威胁组织具有高度相似性。
360高级威胁研究院在之前的威胁情报分析中发现并捕获到了Lyceum的Milan后门,此次我们又发现了新的IOC并在本文中加以补充说明。


1.攻击流程


1.1诱饵文档


我们之前捕获到了一个恶意文档,内容为一则招聘信息,描述的工作内容与芯片PC产品、程序和系统相关,招聘岗位包括销售经理、HR、技术支持三个岗位。恶意文档的内容经过精心准备,对于攻击目标来讲,具有高度的迷惑性。

Lyceum组织针对高科技芯片行业攻击活动的简要分析


文档内部隐藏宏文件,在文档自动打开时候运行,在指定的文件夹下释放后续的攻击组件

Lyceum组织针对高科技芯片行业攻击活动的简要分析

为保证持久性,创建计划任务,每隔指定时间继续运行。

Lyceum组织针对高科技芯片行业攻击活动的简要分析


1.2 PE文件


PE样本内部包含PDB路径C:UserskernelDesktopmilanReleaseMilan.pdb。

1、首先获取当前文件所在路径。

Lyceum组织针对高科技芯片行业攻击活动的简要分析


2、获取当前路径,判断路径下是否存在curent.txt文件,该文件作为log日志存在。

Lyceum组织针对高科技芯片行业攻击活动的简要分析


3、判断传入参数,只有大于一个才继续执行关键函数,目的是避免PE被单独快速分析。同时,创建互斥体,保证程序唯一执行。

Lyceum组织针对高科技芯片行业攻击活动的简要分析


4、启动线程,利用http通信。

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析


5、创建线程函数,在当前目录log文件夹下的临时文件夹内遍历文件夹查找.bin和.json文件。

Lyceum组织针对高科技芯片行业攻击活动的简要分析


6、而这次攻击中就使用DNS A记录查询,使用DNS隧道进行命令和控制。

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

7、因为CC失效以及无法调试的原因,通过wireshark的pcap包观察流量数据。

Lyceum组织针对高科技芯片行业攻击活动的简要分析


2. 关联

在众多APT组织中,APT34最早开始利用DNS隧道进行攻击,该组织开发了多种多样的攻击组件,采用了不同的DNS攻击方式。

Lyceum也采用了相同的攻击手法获取MachineGuid, 其中base64编码的域名是作为DNS通信的一部分使用。

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析

Lyceum组织针对高科技芯片行业攻击活动的简要分析


在通信过程中,利用35.35.35的DNS回复也与此前的披露相一致。这为此次攻击和Lyceum的关联提供了佐证。

Lyceum组织针对高科技芯片行业攻击活动的简要分析   


总结

2019年Lyceum组织被首次披露,目前还在活跃中。其具有定制开发的Milan后门与多种信息窃取组件,并且通过捕获的样本特征,我们能够发现该组织与APT34等伊朗组织有很强的关联。具有国家民族背景的APT组织的活动会在代码、组件之间非常相似甚至直接共享,即使单次行动被曝光,攻击者只要继续活跃,大多数会继续利用已有代码编写新的间谍组件并为后续攻击活动提供新的技术支持,也因此会继续留下蛛丝马迹。


附录 IOC



e2919dea773eb0796e46e126dbce17b1

a90ae3747764127decae5a0d7856ef95

yciwftaie66jstpmds5sqtahecnue5we.dnsstatus[.]org

defenderlive[.]com

C:UserskernelDesktopmilanReleaseMilan.pdb

8acb42aea1ab0c69feb6fd56e88d0055







360高级威胁研究院

360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。

原文始发于微信公众号(360威胁情报中心):Lyceum组织针对高科技芯片行业攻击活动的简要分析

版权声明:admin 发表于 2022年5月10日 下午6:28。
转载请注明:Lyceum组织针对高科技芯片行业攻击活动的简要分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...