Nya hacking grupp in trångt Mellanöstern cyber-spionage sfären
Nya Lyceum APT är inriktade på olja och gas företag i Mellanöstern och telekom i Afrika och Asien.
Hackare är utbyggnaden av tidigare okända verktyg i en cyber-attack kampanj med inriktning på sjöfart och transport organisationer med egna trojan malware.
Identifierats och beskrivits av forskare vid Palo Alto Networks Enhet 42 threat intelligence division kampanjen har varit aktiv sedan åtminstone Kan 2019 och fokuserar på transport och rederier som är verksamma av Kuwait i persiska Viken.
Kampanjen har kallats xHunt eftersom den skadliga verktyg som förknippas med det har tydligen fått sitt namn av utvecklare efter tecken i anime-serien Hunter x Hunter.
xHunt först uppdagades i Maj efter en skadlig binära var finns installerad på ett nätverk av ett offer i Kuwait. Det är fortfarande inte säker på hur maskinen är inledningsvis äventyras, men angriparna installera en bakdörr som heter Hisoka version 0.8 vilka faciliteter som leverans av ytterligare familjer av skadlig kod som verkar ha utvecklats av samma författare.
En av dessa är Gon, som gör det möjligt för angriparen att scanna efter öppna portar på en fjärrdator, ladda upp och ladda ner filer, ta skärmdumpar, hitta andra datorer i nätverket, köra kommandon och skapa sin egen Remote Desktop Protocol (RDP) – funktionen.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF-fil (TechRepublic)
Allt detta gör det slutligen möjligt för angriparna att övervaka varje åtgärd på den infekterade systemet och i hemlighet göra av med filer och andra data.
xHunt också framgångsrikt infiltrerat nätverk av andra Kuwait frakt och transport företag, smittade i juni detta år.
Forskare observera att denna version av Hisoka anges som version 0.9, och det kommer med extra funktioner, inklusive möjligheten att överlåta sig själv till andra system med hjälp av Server Message Block (SMB) protokoll om privilegier från en intern IT service desk-konto. Den malware också försök att logga in på Exchange-tjänster med hjälp av legitima referenser för företag, hjälpa angripare att skicka och ta emot kommandon.
Under analys av det skadliga programmet, och dess verksamhet äventyras på nätverk, forskare funnit likheter i koden till en annan skadlig verktyg – Sakabota – som har varit aktiv sedan åtminstone juli 2018. Det är troligt att Sakabota är föregångaren till Hisoka, som utvecklats av samma författare, med ytterligare funktioner läggs till under loppet av ett år. Det Gon bakdörr också innehåller en kod som används i Sakabota, återigen pekar mot alla de verktyg som har samma författare eller författare.
“Angriparna har lagt till några roliga funktioner för att Hisoka och tillhörande verktyg. Angriparna är medvetna om sannolika säkerhetsåtgärder på plats vid sina mål och har försökt utveckla sätt att få i oupptäckt,” Ryan Olson, vice vd för hot intelligens på Enhet 42 berättade ZDNet.
Forskare föreslår att en del av infrastrukturen och delade domäner bakom Hisoka, Sakabota och Gon visar potentiella överlappningar med Oljerigg – även känd som APT 35 och Helix Kattunge – en hacka drift med länkar till Iranska regeringen backas offensiv it-kampanjer. Forskare på IBM X-Force även kopplat den senaste tidens attacker mot Kuwait och Iran.
Men, Enhet 42 konstaterar också att skillnaderna i tid mellan attackerna är inte konkreta bevis, som en attack gruppen kunde ha använt infrastruktur, innan en annan använt det senare ner linjen.
Oavsett vem som ligger bakom kampanjen, organisationer kan gå en lång väg för att vara skyddade mot angrepp genom att genomföra några grundläggande it-säkerhet praxis.
“Organisationer kan skydda sig genom att bland annat säkerhet verktyg och kapacitet att leta efter förändringar i ett fungerande tillstånd, avvikande aktivitet på Exchange-servrar, och de som kan identifiera DNS-Tunnel. Det är också en god idé att fortsätta användaren cybersäkerhet medvetenhet och utbildning initiativ, säger Olson.
Forskare fortsätter att övervaka aktiviteten runt om i attacker och är inställd på att fortsätta till analys för att fastställa de slutliga målen av anfallare, liksom mer information om ursprunget av kampanjen. De indikatorer som äventyras i samband med attackerna har varit delade på den Enhet 42 GitHub repository.
MER OM IT-RELATERAD BROTTSLIGHET
Cybersäkerhet: Nya hacking koncernens mål på ett IT-företag i första fasen av supply chain attacker7 security tips för att hålla människor och applikationer från att stjäla dina data CNETCybersäkerhet: Gör dessa sex saker för att skydda ditt företag på nätetHur organisationer kan bli bättre på att skydda sig mot supply chain security hot TechRepublicGuld Galleon hackare mål sjöfart branschen
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter