Нове кіберзлочинне угруповання націлилося на Близький Схід

10:31
Нове кіберзлочинне угруповання націлилося на Близький Схід

  На сцені кіберзлочинного шпигунства з'явився новий учасник. Відстежувана фірмами з кібербезпеки під такими назвами, як Lyceum (Secureworks) і Hexane (Dragos), нове APT-угрупування зосередило атаки на нафтогазових компаніях на Близькому Сході. За словами дослідників, основним регіоном діяльності злочинців виявився Кувейт.

      У той час як основна частина атак Lyceum була спрямована на компанії в енергетичному секторі, угруповання також націлилося на провайдерів телекомунікаційних послуг в країнах Близького Сходу, Центральної Азії та Африки.
    За словами дослідників з Secureworks, атаки проходять за простою, але дуже ефективною схемою. Спочатку злочинці використовують такі методи, як password spraying (виявлення і використання ненадійних паролів) і брутфорс для злому окремих облікових записів електронної пошти в цільових організаціях. Далі скомпрометовані поштові скриньки використовуються для відправки колегам жертви фішингових листів зі шкідливими файлами Excel, які намагаються заразити інших користувачів в тій саме організації шкідливим ПЗ. Основними цілями цих фішингових кампаній другого етапу стають керівники, відділ кадрів і персонал ІТ-організації.
    Файли Excel містять корисне навантаження DanDrop і VBA-скрипт, що заражає систему трояном для віддаленого доступу DanBot. Даний троян завантажує і запускає додаткові шкідливі програми на системах жертви. Більшість шкідників є скрипти PowerShell з функцією скидання пароля, пересування по мережі або кейлоггінга.
    Дослідники з Dragos і Secureworks не пов'язують угруповання з будь-якою конкретної країною, але відзначають, що тактика, методи і процедури, які використовуються Lyceum, нагадують кіберзлочинне угруповання COBALT TRINITY (APT33) і COBALT GYPSY (APT34), пов'язані з Іраном.
    Розпилення паролів (Password Spraying) — техніка, в якій кіберзлочинець використовує паролі від попередніх проломів або згенеровані списки паролів для спроб отримати доступ до оточення.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.