قامت شركات الأمن السيبراني باكتشاف المتسللين الجدد بشكل أساسي

06 September 2019 الكويت

تتبعها شركات الأمن السيبراني تحت أسماء مثل Lyceum (تسمية Secureworks) و Hexane (تسمية Dragos) ، وقد ركزت هذه المجموعة الجديدة بشكل أساسي على قطاع الطاقة المحلي ، وفقًا لتقارير صحيفة القبس اليومية نقلاً عن Www.zdnet.com

في تقرير نُشر في وقت سابق من هذا الشهر ، قالت شركة الأمن التابعة لـ ICS دراغوس إن شركة ليسيوم (هكسان) استهدفت بشكل متكرر شركات النفط والغاز في الشرق الأوسط ، مع اعتبار "الكويت منطقة تشغيل رئيسية".

ولكن في حين أن معظم هجمات "ليسيوم" كانت موجهة إلى شركات في قطاع الطاقة ، استهدفت المجموعة أيضًا مزودي الاتصالات في الشرق الأوسط الكبير وآسيا الوسطى وأفريقيا ، "حسب قول دراغوس ،" من المحتمل أن يكون ذلك بمثابة نقطة انطلاق نحو التركيز على الشبكات. - الهجمات المتوسطة وما يتصل بها. "

ولكن بصرف النظر عن هذه الهجمات النادرة ، تركز الجزء الأكبر من نشاط مدرسة ليسيوم على الشركات في قطاع الطاقة.

في تقرير تم نشره مؤخرًا ومشاركته مع ZDNet ، قالت شركة Secureworks إنها اكتشفت طفرة في نشاط شركة Lyceum التي تستهدف شركات النفط والغاز في مايو من هذا العام ، وهي زيادة جاءت بعد "زيادة حادة في تطوير واختبار مجموعة أدواتها ضد مجموعة متعددة عامة - خدمة مسح البرامج الضارة للموردين في فبراير 2019. "

هذه الهجمات تتبع نمطًا بسيطًا وفعالًا للغاية ، كما أوضح Secureworks. أولاً ، يستخدم أعضاء مدرسة ليسيوم تقنيات مثل رش كلمات المرور وهجمات القوة الغاشمة لخرق حسابات البريد الإلكتروني الفردية في المنظمات المستهدفة.

أحدها الناجح ، في المرحلة الثانية من هذه الهجمات ، كان أعضاء Lyceum يستخدمون حسابات البريد الإلكتروني المعرضة للخطر لإرسال رسائل بريد إلكتروني للتصيد الاحتيالي إلى زملائهم الضحية.

توفر رسائل البريد الإلكتروني هذه ملفات Excel الضارة التي قد تحاول إصابة المستخدمين الآخرين في المؤسسة نفسها بالبرامج الضارة. تتمثل الأهداف الأساسية لحملات التصيد العشوائي للمرحلة الثانية في المديرين التنفيذيين وموظفي الموارد البشرية وموظفي تكنولوجيا المعلومات في نفس المؤسسة.

ستحتوي ملفات Excel على حمولة باسم DanDrop ، وهو برنامج نصي لماكرو VBA من شأنه أن يصيب الضحية بـ DanBot ، وهو حصان طروادة C # للوصول عن بعد (RAT).

عندئذٍ ، يستخدم المتسللون في مدرسة ليسوم DanBot RAT لتنزيل وتشغيل برامج ضارة إضافية على أنظمة الضحايا ، وكان معظمهم من البرامج النصية PowerShell مع إلقاء كلمة المرور ، أو الحركة اللاحقة ، أو وظيفة تدوين المفاتيح.

امتنع كل من Dragos و Secureworks عن ربط المجموعة بأجهزة التجسس الإلكتروني لأي بلد معين. ومع ذلك ، فإن كل من Dragos و Secureworks قد سجلتا في السجل وقالا إن التكتيكات والتقنيات والإجراءات (TTPs) المستخدمة من قبل Lyceum تشبه APT33 و APT34 ، وهما مجموعتان للتجسس الإلكتروني تم ربطهما تاريخياً بإيران.

 

المصدر: المصطلحات

: 253

تعليقات أضف تعليقا

اترك تعليقا