Исследователи в области кибербезопасности из Accenture Cyber ​​Threat Intelligence (ACTI) и Prevailion Adversarial Counterintelligence (PACT) рассказали подробности об иранской киберпреступной группировке Lyceum (также известной как Hexane, Siamesekitten и Spirlin). Иранские хакеры осуществляют атаки на сети телекоммуникационных компаний и интернет-провайдеров.

Lyceum действует с 2017 года и была связана с вредоносными кампаниями, направленными против нефтегазовых компаний на Ближнем Востоке.

По словам экспертов, в период с июля по октябрь нынешнего года Lyceum осуществила атаки на интернет-провайдеров и телекоммуникационные организации в Израиле, Марокко, Тунисе и Саудовской Аравии.

Кроме того, APT несет ответственность за вредоносную кампанию против африканского министерства иностранных дел.

Lyceum проводит атаки с подстановкой учетных данных (credential stuffing) и брутфорс-атаки.

Хакеры взламывают индивидуальные учетные записи в компаниях, а затем используют их в качестве плацдарма для запуска целевых фишинговых атак против высокопоставленных руководителей в организации.

APT-группировка, предположительно, ориентирована на кибершпионаж.

Злоумышленники не только ищут данные об абонентах и ​​связанных сторонних компаниях, но также могут использовать скомпрометированные сети для наблюдения за определенными людьми.

Lyceum в ходе атак пытается установить две вредоносные программы — Shark и Milan (известные вместе как James). Вредоносы представляют собой бэкдоры.

Источник: ghall.com.ua