Lyceum是一个很少被曝光的威胁组织,在仅有的几次攻击披露中,主要以中东和非洲为主要目标。该组织的活动最早可追溯到2018年4月,因为攻击中东石油和天然气、电信公司而逐渐被发现。
1.攻击流程
1.1诱饵文档
我们之前捕获到了一个恶意文档,内容为一则招聘信息,描述的工作内容与芯片PC产品、程序和系统相关,招聘岗位包括销售经理、HR、技术支持三个岗位。恶意文档的内容经过精心准备,对于攻击目标来讲,具有高度的迷惑性。
文档内部隐藏宏文件,在文档自动打开时候运行,在指定的文件夹下释放后续的攻击组件。
为保证持久性,创建计划任务,每隔指定时间继续运行。
1.2 PE文件
PE样本内部包含PDB路径C:UserskernelDesktopmilanReleaseMilan.pdb。
1、首先获取当前文件所在路径。
2、获取当前路径,判断路径下是否存在curent.txt文件,该文件作为log日志存在。
3、判断传入参数,只有大于一个才继续执行关键函数,目的是避免PE被单独快速分析。同时,创建互斥体,保证程序唯一执行。
4、启动线程,利用http通信。
5、创建线程函数,在当前目录log文件夹下的临时文件夹内遍历文件夹查找.bin和.json文件。
6、而这次攻击中就使用DNS A记录查询,使用DNS隧道进行命令和控制。
7、因为CC失效以及无法调试的原因,通过wireshark的pcap包观察流量数据。
2. 关联
在众多APT组织中,APT34最早开始利用DNS隧道进行攻击,该组织开发了多种多样的攻击组件,采用了不同的DNS攻击方式。
Lyceum也采用了相同的攻击手法获取MachineGuid, 其中base64编码的域名是作为DNS通信的一部分使用。
在通信过程中,利用35.35.35的DNS回复也与此前的披露相一致。这为此次攻击和Lyceum的关联提供了佐证。
e2919dea773eb0796e46e126dbce17b1
a90ae3747764127decae5a0d7856ef95
yciwftaie66jstpmds5sqtahecnue5we.dnsstatus[.]org
defenderlive[.]com
C:UserskernelDesktopmilanReleaseMilan.pdb
8acb42aea1ab0c69feb6fd56e88d0055
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):Lyceum组织针对高科技芯片行业攻击活动的简要分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论