Полку кибершпионов на Ближнем Востоке прибыло

Компании Secureworks и Dragos практически одновременно сообщили об обнаружении новой кибершпионской группировки, активно действующей на Ближнем Востоке. Группа, которую Secureworks называет Lyceum (в Dragos ей же дали название Hexane), атакует по преимуществу компании нефтегазового сектора, хотя среди ее жертв есть и провайдеры услуг связи. Операции совершаются в странах Ближнего Востока, затрагивая также Центральную Азию и Африку, но большая их часть приходится на Кувейт.

Группировка Lyceum/Hexane активна как минимум с середины прошлого года. Ее атаки строятся по простой, но весьма эффективной схеме. На первом этапе хакеры взламывают учетные записи электронной почты сотрудников целевых компаний, выявляя слабые пароли и используя brute force атаки. Затем со скомпрометированных учетных записей рассылаются фишинговые сообщения, адресованные руководителям компании, сотрудникам служб по управлению персоналом и IT-специалистам. Письма содержат вредоносные файлы Excel и инфицируют получателей троянцем удаленного доступа DanBot, который в дальнейшем используется для похищения данных и заражения систем дополнительным вредоносным ПО.

Специалисты Secureworks и Dragos воздерживаются от предположений о том, в интересах какой страны действуют киберпреступники, однако они отмечают, что тактика и методы новой группировки во многом совпадают с теми, которые используются группировками APT33 и APT34. Обе эти группы, как считается, пользуются поддержкой властей Ирана.

Источник: ZDNet