27.01.2020

Хак-группа Lyceum атакует телекоммуникационные и нефтегазовые компании

5 месяцев назад
Комментарии (0)
Редактор: Kostya

Специалисты компаний Secureworks и Dragos опубликовали отчеты, посвященные обнаружению кибершпионской группировки Lyceum (она же Hexane). Основными целями этой хак-группы становятся энергетический сектор, нефтегазовые компании на Ближнем Востоке и телекоммуникационные компании в странах Африки и Азии.

Эксперты Dragos пишут, что Lyceum неоднократно атаковала энергетический сектор и нефтегазовые компании на Ближнем Востоке и основным регионом деятельности группы является Кувейт. Кроме того, хакеры не раз атаковали провайдеров телекоммуникационных услуг в странах Ближнего Востока, Центральной Азии и Африки. Исследователи полагают, что эти атаки были лишь очередной ступенькой на пути к развертыванию более серьезных кампаний с применением man-in-the-middle техник.

В свою очередь, специалисты Secureworks сообщают, что в мае текущего года они так же зафиксировали всплеск активности Lyceum по отношению к нефтегазовым компаниям. По данным исследователей, перед этим, с февраля 2019 года, злоумышленники активно тестировали обновленный инструментарий, в частности, проверяя его с помощью публичного малварь-сканера.

Эксперты рассказывают, что группировка не отличается новаторским подходом и действует весьма простыми, но проверенными методами. Так, для взлома отдельных учетные записей электронной почты в целевых организациях злоумышленники используют брутфорс и password spraying (различные имена пользователей перебирают и пытаются использовать с одним и тем же паролем, надеясь обнаружить плохо защищенную учетную запись).

Успешно скомпрометировав чью-либо почту, хакеры используют эту учетную запись для рассылки фишинговых писем коллегам жертвы. Такие послания содержат вредоносные файлы Excel, которые призваны заразить других пользователей в той же организации вредоносным ПО. Основными целями для второго этапа атак и фишинга, как правило, становятся руководители, отдел кадров и ИТ-персонал организации.

Пейлоадом в файлах Excel выступает DanDrop, макрос-скрипт VBA, который заражает жертв трояном удаленного доступа DanBot, написанным C#. В дальнейшем злоумышленники используют DanBot для загрузки и запуска дополнительной малвари: в основном это скрипты PowerShell для хищения паролей, последующего перемещения или с функциональностью кейлоггера.

Хотя исследователи Dragos и Secureworks пока не связывают Lyceum с какой-то конкретной страной, эксперты обеих компаний отмечают, что тактика и методы группировки напоминают работу APT33 и APT34 — известных кибершпионских групп, связанных с Ираном.

Источник: https://xakep.ru/2019/08/28/lyceum/

Похожие

В браузере Apple Safari устранены уязвимости, позволявшие следить за пользователями

Исследователи Google, работающие в сфере информационной безопасности, обнаружили в веб-браузере Apple Safari несколько уязвимостей, которые могли использоваться злоумышленниками для слежки…

3 дня назад
Комментарии (0)

Хакер, взломавший Национальную лотерею Великобритании ради 5 фунтов, получил тюремный срок

Британское Национальное агентство по борьбе с преступностью сообщило, что 29-летний Анвар Бэтсон (Anwar Batson), также известный под псевдонимом Rosegold, получил…

2 недели назад
Комментарии (0)

Последние новости

Сделка на $15 млрд: Broadcom будет три года поставлять Apple комплектующие для iPhone

2 дня назад
Комментарии (0)
Редактор: Kostya

Тесное сотрудничество с Apple часто выходило боком партнёрам компании. Samsung, Qualcomm, Intel, Imagination так или иначе пострадали от работы с…

2 дня назад
Комментарии (0)
Редактор: Kostya

Мэр Москвы: в зоне строительства Юго-Восточной хорды есть радиоактивные отходы

2 дня назад
Комментарии (0)
Редактор: Sergey

Мэр Москвы Сергей Собянин признал, что в зоне строительства Юго-Восточной хорды есть радиоактивные загрязнения грунта. Об этом 24 января сообщается…

2 дня назад
Комментарии (0)
Редактор: Sergey

Улучшенные версии игр Mortal Kombat появятся на ПК и PlayStation

2 дня назад
Комментарии (0)
Редактор: Kostya

Авторы вселенной Mortal Kombat решили порадовать своих поклонников улучшенными версиями первых трех игр по “Смертельной битве”. Портал Gematsu заметил, что…

2 дня назад
Комментарии (0)
Редактор: Kostya
Авторизация
*
*
Регистрация
*
*
*
*
Генерация пароля