19.09.2019

Хак-группа Lyceum атакует телекоммуникационные и нефтегазовые компании

3 недели назад
Комментарии (0)
Редактор: Kostya

Специалисты компаний Secureworks и Dragos опубликовали отчеты, посвященные обнаружению кибершпионской группировки Lyceum (она же Hexane). Основными целями этой хак-группы становятся энергетический сектор, нефтегазовые компании на Ближнем Востоке и телекоммуникационные компании в странах Африки и Азии.

Эксперты Dragos пишут, что Lyceum неоднократно атаковала энергетический сектор и нефтегазовые компании на Ближнем Востоке и основным регионом деятельности группы является Кувейт. Кроме того, хакеры не раз атаковали провайдеров телекоммуникационных услуг в странах Ближнего Востока, Центральной Азии и Африки. Исследователи полагают, что эти атаки были лишь очередной ступенькой на пути к развертыванию более серьезных кампаний с применением man-in-the-middle техник.

В свою очередь, специалисты Secureworks сообщают, что в мае текущего года они так же зафиксировали всплеск активности Lyceum по отношению к нефтегазовым компаниям. По данным исследователей, перед этим, с февраля 2019 года, злоумышленники активно тестировали обновленный инструментарий, в частности, проверяя его с помощью публичного малварь-сканера.

Эксперты рассказывают, что группировка не отличается новаторским подходом и действует весьма простыми, но проверенными методами. Так, для взлома отдельных учетные записей электронной почты в целевых организациях злоумышленники используют брутфорс и password spraying (различные имена пользователей перебирают и пытаются использовать с одним и тем же паролем, надеясь обнаружить плохо защищенную учетную запись).

Успешно скомпрометировав чью-либо почту, хакеры используют эту учетную запись для рассылки фишинговых писем коллегам жертвы. Такие послания содержат вредоносные файлы Excel, которые призваны заразить других пользователей в той же организации вредоносным ПО. Основными целями для второго этапа атак и фишинга, как правило, становятся руководители, отдел кадров и ИТ-персонал организации.

Пейлоадом в файлах Excel выступает DanDrop, макрос-скрипт VBA, который заражает жертв трояном удаленного доступа DanBot, написанным C#. В дальнейшем злоумышленники используют DanBot для загрузки и запуска дополнительной малвари: в основном это скрипты PowerShell для хищения паролей, последующего перемещения или с функциональностью кейлоггера.

Хотя исследователи Dragos и Secureworks пока не связывают Lyceum с какой-то конкретной страной, эксперты обеих компаний отмечают, что тактика и методы группировки напоминают работу APT33 и APT34 — известных кибершпионских групп, связанных с Ираном.

Источник: https://xakep.ru/2019/08/28/lyceum/

Похожие

Последние новости

Binance запускает биржу криптовалют в США

24 минуты назад
Комментарии (0)
Редактор: Sergey

Сегодня американский филиал Binance открыл регистрацию пользователей и начинает прием депозитов. Сервис будет недоступен в 13 штатах из-за регуляторных проблем….

24 минуты назад
Комментарии (0)
Редактор: Sergey

В Киеве мужчина, угрожающий взорвать мост, открыл стрельбу

4 часа назад
Комментарии (0)
Редактор: Sergey

Неизвестный мужчина угрожает взорвать мост в Киеве, где находится станция метро, он открыл стрельбу, сообщил глава полиции украинской столицы Андрей Крищенко. «Неизвестный…

4 часа назад
Комментарии (0)
Редактор: Sergey

Врач рассказал подробности диагноза Заворотнюк

4 часа назад
Комментарии (0)
Редактор: Sergey

Академик РАН, научный руководитель и почетный президент НМИЦ нейрохирургии имени академика Н. Н. Бурденко Александр Коновалов в эфире телеканала Москва 24 заявил,…

4 часа назад
Комментарии (0)
Редактор: Sergey

Ученые рассказали, что заставляет человека испытывать ужас во время сна

20 часов назад
Комментарии (0)
Редактор: Sergey

Почти восемь процентов взрослых людей ощущали во сне присутствие потусторонних сил. Схема одна: внезапно проснулся от чьего-то пристального взгляда, не мог пошевелиться. Некоторым кажется,…

20 часов назад
Комментарии (0)
Редактор: Sergey
Авторизация
*
*
Регистрация
*
*
*
*
Генерация пароля