Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.064
- Реакции
- 189
- Репутация
- 10
You must be registered for see images attach
В то время как основная часть атак Lyceum была направлена на компании в энергетическом секторе, группировка также нацелилась на провайдеров телекоммуникационных услуг в странах Ближнего Востока, Центральной Азии и Африки.
По словам исследователей из Secureworks, атаки проходят по простой, но очень эффективной схеме. Сначала преступники используют такие методы, как password spraying (обнаружение и использование ненадежных паролей) и брутфорс для взлома отдельных учетных записей электронной почты в целевых организациях. Далее скомпрометированные почтовые ящики используются для отправки коллегам жертвы фишинговых писем с вредоносными файлами Excel, которые пытаются заразить других пользователей в той же организации вредоносным ПО. Основными целями этих фишинговых кампаний второго этапа становятся руководители, отдел кадров и персонал ИТ-организации.
Файлы Excel содержат полезную нагрузку DanDrop и VBA-скрипт, заражающий систему трояном для удаленного доступа DanBot. Данный троян загружает и запускает дополнительные вредоносные программы на системах жертвы. Большинство вредоносов представляют собой скрипты PowerShell с функцией сброса пароля, передвижения по сети или кейлоггинга.
Исследователи из Dragos и Secureworks не связывают группировку с какой-либо конкретной страной, но отмечают, что тактика, методы и процедуры, используемые Lyceum, напоминают киберпреступные группировки COBALT TRINITY (APT33) и COBALT GYPSY (APT34), связанные с Ираном.
Распыление паролей (Password Spraying) – техника, в которой киберпреступник использует пароли от предыдущих брешей или сгенерированные списки паролей для попыток получить доступ к окружению.
*Источник - https://www.securitylab.ru/news/500658.php