28/08/19
На сцене киберпреступного шпионажа появился новый участник. Отслеживаемая фирмами кибербезопасности под такими названиями, как Lyceum (именование Secureworks) и Hexane (именование Dragos), новая APT-группировка сосредоточила атаки на нефтегазовых компаниях на Ближнем Востоке. По словам исследователей, основным регионом деятельности преступников оказался Кувейт.
В то время как основная часть атак Lyceum была направлена на компании в энергетическом секторе, группировка также нацелилась на провайдеров телекоммуникационных услуг в странах Ближнего Востока, Центральной Азии и Африки.
По словам исследователей из Secureworks, атаки проходят по простой, но очень эффективной схеме. Сначала преступники используют такие методы, как password spraying (обнаружение и использование ненадежных паролей) и брутфорс для взлома отдельных учетных записей электронной почты в целевых организациях. Далее скомпрометированные почтовые ящики используются для отправки коллегам жертвы фишинговых писем с вредоносными файлами Excel, которые пытаются заразить других пользователей в той же организации вредоносным ПО. Основными целями этих фишинговых кампаний второго этапа становятся руководители, отдел кадров и персонал ИТ-организации.
Файлы Excel содержат полезную нагрузку DanDrop и VBA-скрипт, заражающий систему трояном для удаленного доступа DanBot. Данный троян загружает и запускает дополнительные вредоносные программы на системах жертвы. Большинство вредоносов представляют собой скрипты PowerShell с функцией сброса пароля, передвижения по сети или кейлоггинга.
Исследователи из Dragos и Secureworks не связывают группировку с какой-либо конкретной страной, но отмечают, что тактика, методы и процедуры, используемые Lyceum, напоминают киберпреступные группировки COBALT TRINITY (APT33) и COBALT GYPSY (APT34), связанные с Ираном.
Распыление паролей (Password Spraying) – техника, в которой киберпреступник использует пароли от предыдущих брешей или сгенерированные списки паролей для попыток получить доступ к окружению.
