Эксперты проанализировали кампании Lyceum/Hexane

30 августа 2019 г., пятница

В арсенале новой APT-группировки, орудующей в Южной Африке и на Ближнем Востоке, обнаружились пять авторских зловредов.

Специалисты Secureworks изучили методы группировки Lyceum/Hexane, которая атакует телекоммуникационные и нефтегазовые компании в Южной Африке и на Ближнем Востоке. Эксперты обнаружили в арсенале преступников пять зловредов, позволяющих загружать на компьютеры стороннее ПО, похищать системные данные и отслеживать ввод с клавиатуры.

Хотя о появлении группировки Lyceum заговорили в середине этого года, первые атаки злоумышленников датируются апрелем 2018-го. За прошедшее время преступники нарастили свою активность, что и привлекло внимание ИБ-экспертов.

Инструментарий APT-группировки Lyceum

Специалисты отмечают сходство приемов и технологий Lyceum с APT-группировкой Cobalt Gypsy (также известна как OilRig, Crambus, APT34) и Cobalt Trinity (Elfin, APT33). В то же время инфраструктура и ПО Hexane не были замечены в других вредоносных кампаниях. Это позволяет исследователям сделать вывод, что Lyceum — независимое преступное сообщество.

В атаках группировка использует такие инструменты, как:

  1. DanBot. Программа дляудаленного доступа, которая внедряется на компьютер сразу после проникновения. Зловред умеет передавать и принимать данные по протоколам DNS и HTTP, загружать и отправлять файлы, выполнять команды через командную строку. Исследователи нашли в коде DanBot характерные опечатки, по которым администраторы могут обнаружить присутствие программы в целевой инфраструктуре.
  2. DanDrop. Вредоносный макрос, который извлекает DanBot изфишингового файла, разворачивает его на компьютере и добавляет в список автозагрузки. Этот набор функций остается неизменным от кампании к кампании, однако поздние версии DanDrop защищены от обнаружения — их код обфусцирован.
  3. kl.ps Авторский PowerShell-кейлоггер, использующий фреймворк Microsoft.NET Core. Зловред записывает название активного окна и перехватывает ввод с клавиатуры, а затем шифрует эти данные с помощью алгоритма Base64.
  4. Decrypt-RDCMan.ps Этот модуль основан напентест-фреймворке PoshC2. С его помощью преступники расшифровывают информацию в конфигурационном файле RDCMan, где хранятся учетные данные для установки удаленного доступа к компьютеру.
  5. Get-LAPSP.ps Скрипт наPowerShell собирает информацию о существующих пользователях через Active Directory. Эксперты полагают, что этот зловред создан на базе заимствованного кода.

Схема атак Lyceum

Кампании группировки построены на целевом фишинге. Чтобы усыпить бдительность жертв, преступники рассылают вредоносные письма с ранее взломанных корпоративных аккаунтов. В свою очередь, доступ к этим учетным записям они получают подбором паролей.

Вредоносное вложение — это Excel-документ с макросом DanDrop. Исследователи обнаружили сообщения, посвященные системам промышленного контроля, корпоративным тренингам и проблемам инфобезопасности.

В первую очередь преступники пытаются получить доступ к аккаунтам HR- и IT-специалистов. Эти пользователи интересуют злоумышленников потому, что через них проще всего добраться до учетных записей других сотрудников или узнать устройство корпоративной инфраструктуры. В то же время аналитики допускают вероятность, что участники Lyceum планируют атаки на системы промышленной автоматизации.

Как защититься от APT-атак

Эксперты заключают, что атак Lyceum стоит опасаться всем предприятиям, обеспечивающим работу критической инфраструктуры. Они рекомендуют специалистам по безопасности укрепить защиту сетей с помощью средств многофакторной аутентификации. В то же время, поскольку преступники используют взломанные корпоративные аккаунты, одних лишь этих мер будет недостаточно.

«Технические решения не защищают компанию от всех рисков, — напоминают исследователи. — Необходимо создавать корпоративную культуру с фокусом на информационной безопасности — это позволит сотрудникам эффективно работать в кризисных условиях, сокращая ущерб от инцидентов и снижая их частоту. Постоянные антифишинговые тренинги помогут вовремя обнаружить атаку, а четкие инструкции по реагированию на угрозу пригодятся на тот случай, если пользователь все же открыл опасное вложение».

Кроме того, эксперты указали на необходимость повышения прозрачности IT-инфраструктуры, без которой ИБ-службе будет нелегко отслеживать подозрительную активность и собирать улики для расследования инцидентов. Средства мониторинга следует разворачивать и на конечных устройствах.

Ранее ИБ-эксперты опубликовали исследование группировки Silence, которая атакует финансовые организации по всему миру. Преступники проводят многоступенчатые кампании и привлекают к разработке своих зловредов сторонних специалистов. В результате им удается похищать миллионы рублей, которые позже обналичиваются через банкоматы в разных странах.

Threatpost