Viktig infrastruktur är ett av de föredragna målen för sofistikerade APT-attacker (Persistent Advanced Threat). Det som verkligen gör dem farliga är att ATP inte attackerar slumpmässigt utan har ett specifikt syfte. Om sofistikerade cyberattacker framgångsrikt förlamar vattentillförseln eller stör sjukhustjänster, uppnår APT sitt uppdrag: att försvaga “fiendens” stat.
LYCEUM, nytt hot
I juli såg vi ett exempel på denna aktivitet på kritisk infrastruktur när en APT med namnet XENOTIME, som är känd för att attackera oljebolag i Mellanöstern, började komma in i elföretagets nätverk i USA.
Nu har en ny APT, LYCEUM, upptäckts genom att involvera gas- och oljebolag i Mellanöstern. Enligt Dell SecureWorks-forskare kan gruppen vara aktiv sedan april 2018. Domänregistrering visar att LYCEUM genomförde en attack i Sydafrika förra året, eventuellt inom telekommunikationssektorn. Gruppens fokus verkar vara att få och utöka tillgången i målnätverket.
Olika taktiker
För att få åtkomst till offrets företagskonto använde LYCEUM-angripare en taktik som kallas lösenordssprejning. Detta är användningen av en lista med vanliga lösenord som används för att försöka få åtkomst till ett stort antal konton i en brute force-attack. Efter att kontot har komprometterats använder gruppen det för att utföra attacker riktade spam-attacker mot andra användare i företaget och skickar farliga Excel-filer.
Det nyfikna inslaget i denna kampanj är angriparnas ironiska känsla. Många e-postmeddelanden använder ämnen relaterade till “bästa säkerhetsrutiner.” Till exempel innehåller e-postmeddelandet en skadlig bilaga som kallas lösenord 25 värsta lösenord 2017 ‘.
När en användare klickar på det bifogade Excel används en skadlig kod som heter DanBot, en Trojan för fjärråtkomst (RAT), som kan användas för att köra godtyckliga kommandon och ladda upp och ladda ner filer. Ett annat verktyg som använder LYCEUM heter kl.ps, Det är en speciell keylogger.
Ursprunget till LYCEUM
Trots den registrerade informationen verkar forskargruppen inte kunna fastställa LYCEUM: s ursprung, men de har tidigare sett flera stilar som används av denna cyberkriminella grupp, förklarar Rafe Pilling från SecureWorks, “Det är mycket intressant att hitta en ny grupp med en stil som liknar APT Iran , men det motsatta har inte de tekniska egenskaperna som gör att vi kan relatera det till aktiviteter som tidigare dokumenterats. “
Hur du försvarar dig mot detta hot
Att attackera inkräktare i alla företag eller organisationer är en viktig fråga. Men när det gäller organisationer som kontrollerar något lika viktigt som ett lands energi blir det viktigt att skydda det från detta hot.
Användningen av tekniker som “lösenordssprutning” understryker vikten av starka lösenord. Uppenbara kombinationer som qwerty eller 1234 får inte användas. Det är också viktigt att inte recirkulera lösenord över flera konton – om lösenord används för alla tjänster kan dataöverträdelser ge referenser som kan användas vid utfyllnad av referensattacker.
Användningen av skadliga bilagor i den här kampanjen påminner oss om vikten av att vara försiktig med filerna vi får i e-postmeddelanden. För LYCEUM är detta mycket relevant eftersom användning riktade spam-attacker Det betyder att e-postmeddelandena verkar komma från kända partners. Du måste fråga dig själv om paret i fråga faktiskt skickar en sådan fil.
Ett annat viktigt element för att skydda mot detta hot är en avancerad cybersäkerhetslösning. Panda Adaptive Defense övervakar ständigt alla processer som körs i ett datorsystem. Det stoppar den misstänkta processen innan den körs. Detta innebär att även om en farlig fil kommer till ett e-postmeddelande kommer det inte att skada ditt företag.
