Специалисты компаний Secureworks и Dragos опубликовали отчеты, посвященные обнаружению кибершпионской группировки Lyceum (она же Hexane). Основными целями этой хак-группы становятся энергетический сектор, нефтегазовые компании на Ближнем Востоке и телекоммуникационные компании в странах Африки и Азии.
Эксперты Dragos пишут, что Lyceum неоднократно атаковала энергетический сектор и нефтегазовые компании на Ближнем Востоке и основным регионом деятельности группы является Кувейт. Кроме того, хакеры не раз атаковали провайдеров телекоммуникационных услуг в странах Ближнего Востока, Центральной Азии и Африки. Исследователи полагают, что эти атаки были лишь очередной ступенькой на пути к развертыванию более серьезных кампаний с применением man-in-the-middle техник.
В свою очередь, специалисты Secureworks сообщают, что в мае текущего года они так же зафиксировали всплеск активности Lyceum по отношению к нефтегазовым компаниям. По данным исследователей, перед этим, с февраля 2019 года, злоумышленники активно тестировали обновленный инструментарий, в частности, проверяя его с помощью публичного малварь-сканера.
Эксперты рассказывают, что группировка не отличается новаторским подходом и действует весьма простыми, но проверенными методами. Так, для взлома отдельных учетные записей электронной почты в целевых организациях злоумышленники используют брутфорс и password spraying (различные имена пользователей перебирают и пытаются использовать с одним и тем же паролем, надеясь обнаружить плохо защищенную учетную запись).
Успешно скомпрометировав чью-либо почту, хакеры используют эту учетную запись для рассылки фишинговых писем коллегам жертвы. Такие послания содержат вредоносные файлы Excel, которые призваны заразить других пользователей в той же организации вредоносным ПО. Основными целями для второго этапа атак и фишинга, как правило, становятся руководители, отдел кадров и ИТ-персонал организации.
Пейлоадом в файлах Excel выступает DanDrop, макрос-скрипт VBA, который заражает жертв трояном удаленного доступа DanBot, написанным C#. В дальнейшем злоумышленники используют DanBot для загрузки и запуска дополнительной малвари: в основном это скрипты PowerShell для хищения паролей, последующего перемещения или с функциональностью кейлоггера.
Хотя исследователи Dragos и Secureworks пока не связывают Lyceum с какой-то конкретной страной, эксперты обеих компаний отмечают, что тактика и методы группировки напоминают работу APT33 и APT34 — известных кибершпионских групп, связанных с Ираном.