Жертвами группы стали ближневосточные нефтегазовые компании, а также африканские и азиатские телекоммуникационные компании.
Отслеживаемая фирмами кибербезопасности, известная как Lyceum (именование Secureworks) и Hexane (именование Dragos), новая APT-группировка сосредоточила атаки на нефтегазовых компаниях на Ближнем Востоке (преимущественно в Кувейте).
В то время как основная часть атак Lyceum была направлена на компании в энергетическом секторе, группировка также нацелилась на провайдеров телекоммуникационных услуг в странах Ближнего Востока, Центральной Азии и Африки.
По словам исследователей Secureworks, атаки проходят по простой схеме: сначала хакеры используют такие методы, как password spraying (обнаружение и использование ненадежных паролей) и брутфорс для взлома отдельных учйтных записей электронной почты в целевых организациях. Далее скомпрометированные имейлы используются для отправки коллегам жертвы фишинговых писем с вредоносными файлами Excel, которые пытаются заразить других пользователей в той же организации вредоносным ПО. Основными целями этих фишинговых кампаний второго этапа становятся руководители, отдел кадров и персонал ИТ-организации.
Файлы Excel содержат полезную нагрузку DanDrop и VBA-скрипт, заражающий систему трояном для удаленного доступа DanBot. Данный троян загружает и запускает дополнительные вредоносные программы на системах жертвы. Большинство зловредов представляют собой скрипты PowerShell с функцией сброса пароля, передвижения по сети или кейлоггинга.
Исследователи из Dragos и Secureworks не связывают группу с какой-либо конкретной страной, но отмечают, что тактика, методы и процедуры, используемые Lyceum, напоминают киберпреступные группировки COBALT TRINITY (APT33) и COBALT GYPSY (APT34), связанные с Ираном.
Распыление паролей (Password Spraying) – техника, в которой киберпреступник использует пароли от предыдущих брешей или сгенерированные списки паролей для попыток получить доступ к окружению.