摘要
《LYCEUM 重生:中东的反情报》报告聚焦于一个名为LYCEUM的威胁参与者,其活动范围主要集中在中东和非洲地区,特别是针对电信公司及关键的能源和天然气组织。LYCEUM的行动可以追溯至2018年4月,以攻击中东和非洲的高调目标著称。该组织在2021年展现出了新的活动,尤其是在突尼斯的实体间进行了一系列攻击。受害者包括电信公司和航空公司等高调组织。
LYCEUM通过多种隐蔽手段进行通信和数据传输,包括DNS隧道技术和HTTP协议。其工具集包括PowerShell脚本、.NET远程访问木马、以及用于DNS和HTTP通信的自定义协议。在最新的活动中,LYCEUM重建了其工具集,并引入了新的C++后门和PowerShell脚本。
技术细节与背景
2019年,Secrewors发布了一份关于LYCEUM的报告,指出该组织专门针对中东和非洲的能源与电信部门。该组织的工具集包括PowerShell脚本和一个.NET远程访问木马,通过DNS或HTTP与C2服务器通信。最近,通过对一个提交给VirsTotal的混淆和Base64编码的PowerShell脚本进行分析,追踪到了LYCEUM的最新动态。
该PowerShell脚本支持DNS和HTTP通信,使用DNS查询进行交互,并在特定字符序列中编码命令(如“z”、“x”、“f”)和命令序列的长度,以便从C2服务器接收完整消息。对于HTTP通信,脚本通过POST请求将受害者ID发送到特定URL,并接收命令(如“>”用于执行命令,“<”用于上传文件,“^”用于下载文件)。
恶意软件植入
在对C2服务器的透视中,发现LYCEUM使用了两种主要的恶意软件变体:“James”和“Kevin”。这些变体被用来作为通用后门,允许攻击者执行任意命令、下载和上传文件。通信协议在不同变体之间有所不同,但都依赖于DNS或HTTP隧道协议来交换消息。James变体基于.NET恶意软件,与先前的“DaBot”工具有关联,而Kevin变体则引入了体系结构和通信协议的变化。
Kevin变体
Kevin变体被认为是LYCEUM武器库中的一项新发展,主要针对64位系统,但也存在少量32位样本。其主要功能是建立与C2服务器之间的通信信道,用于接收和执行命令。该变体在执行前进行了一些初始化操作,包括隐藏当前窗口、创建特定的互斥体、检查执行参数等。在通信中,它使用了定制的Base32编码算法,并支持DNS或HTTP通信,具体取决于样本特性。
总结
LYCEUM的活动展示了高度的专业性和针对性,通过复杂的通信协议和多变的恶意软件变体对目标进行攻击。其活动不仅对中东地区的关键基础设施构成威胁,还通过重建和创新其工具集来提高攻击的隐蔽性和效率。对这类威胁的持续监测和分析对于保护关键基础设施免受攻击至关重要。
