Hujum qurbonlari Yaqin Sharqdagi neft - gaz kompaniyalari, Afrika va Osiyodagi telekommunikatsiya kompaniyalari bo'lishdi.
Kiber jinoiy josuslik sahnasida yangi a'zo paydo bo'ldi. Lyceum (Secureworks deb nomlanadi) va Hexane (Dragos nomi) kabi nomlar ostida kiberxavfsizlik bo'yicha firmalar tomonidan kuzatilgan yangi APT guruhi yaqin Sharqdagi neft va gaz kompaniyalariga hujumlarini qaratmoqda. Tadqiqotchilar so`zlariga ko'ra, Kuvayt jinoyatchilar faoliyatining asosiy hududiga aylandi.
Lyceum hujumlarining aksariyati energetika sohasidagi kompaniyalarga qaratilgan bo'lsa-da, ushbu guruh Yaqin Sharq, Markaziy Osiyo va Afrikadagi telekommunikatsiya xizmatlarini ko'rsatuvchi provayderlarni nishonga oldi.
Secureworks tadqiqotchilarining so`zlariga ko'ra, hujumlar oddiy, ammo juda samarali tarzda amalga oshiriladi. Dastlab, jinoyatchilar maqsadli tashkilotlarda shaxsiy elektron pochta hisoblarini buzish uchun password spraying (zaif parollarni aniqlash va ulardan foydalanish) va shafqatsiz kuch kabi usullardan foydalanadilar. Shikastlangan pochta qutilari keyinchalik zararli Excel fayllarini o'z ichiga olgan fishingli elektron pochta xabarlarini hamkasblariga yuborish uchun ishlatiladi, qaysiki o`sha tashkilotdagi boshqa foydalanuvchilarni zararli dastur bilan yuqtirishga harakat qiladiganlari. Ikkinchi bosqich ushbu fishing kampaniyalarining asosiy maqsadlari IT tashkilotining etakchilari, kadrlar va ishchi xodimlari hisoblanadi.
Excel fayllarida DanDrop yuklamasi va DanBot masofadan kirish troyanini yuqtirgan VBA skripti mavjud. Ushbu troyan qurbonlar tizimida qo'shimcha zararli dasturlarni yuklab oladi va ishlatadi. Ko'pgina zararli dasturlar bu parolni tiklash, tarmoq bo'ylab yurish yoki keyloging imkoniyatiga ega PowerShell skriptlaridir.
Dragos va Secureworks tadqiqotchilari guruhlarni biron bir mamlakat bilan bog'lamaydilar, ammo Lyceum tomonidan ishlatiladigan taktika, usul va protseduralar Eron bilan bog'liq COBALT TRINITY (APT33) va COBALT GYPSY (APT34) kiberhujum guruhlariga o'xshab ketishini ta'kidlamoqda.
Manbaa: https://www.securitylab.ru/news/500658.php