Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Новая киберпреступная группировка нацелилась на Ближний Восток

28/08/19

hack75На сцене киберпреступного шпионажа появился новый участник. Отслеживаемая фирмами кибербезопасности под такими названиями, как Lyceum (именование Secureworks) и Hexane (именование Dragos), новая APT-группировка сосредоточила атаки на нефтегазовых компаниях на Ближнем Востоке. По словам исследователей, основным регионом деятельности преступников оказался Кувейт.

В то время как основная часть атак Lyceum была направлена на компании в энергетическом секторе, группировка также нацелилась на провайдеров телекоммуникационных услуг в странах Ближнего Востока, Центральной Азии и Африки.

По словам исследователей из Secureworks, атаки проходят по простой, но очень эффективной схеме. Сначала преступники используют такие методы, как password spraying (обнаружение и использование ненадежных паролей) и брутфорс для взлома отдельных учетных записей электронной почты в целевых организациях. Далее скомпрометированные почтовые ящики используются для отправки коллегам жертвы фишинговых писем с вредоносными файлами Excel, которые пытаются заразить других пользователей в той же организации вредоносным ПО. Основными целями этих фишинговых кампаний второго этапа становятся руководители, отдел кадров и персонал ИТ-организации.

Файлы Excel содержат полезную нагрузку DanDrop и VBA-скрипт, заражающий систему трояном для удаленного доступа DanBot. Данный троян загружает и запускает дополнительные вредоносные программы на системах жертвы. Большинство вредоносов представляют собой скрипты PowerShell с функцией сброса пароля, передвижения по сети или кейлоггинга.

Исследователи из Dragos и Secureworks не связывают группировку с какой-либо конкретной страной, но отмечают, что тактика, методы и процедуры, используемые Lyceum, напоминают киберпреступные группировки COBALT TRINITY (APT33) и COBALT GYPSY (APT34), связанные с Ираном.

Распыление паролей (Password Spraying) – техника, в которой киберпреступник использует пароли от предыдущих брешей или сгенерированные списки паролей для попыток получить доступ к окружению.

Темы:ПреступленияAPT-группыDragos
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...