Az ICS cyber security blog vendégposztja:
ICS rendszereket támadó csoportok XI.: Hexane/Lyceum
2021. április 03. – icscybersec
A Hexane/Lyceum névre keresztelt támadók (Hexane-nek a Dragos, Lyceum-nak a MITRE ATT&CK for ICS framework nevezi ezt az ICS rendszereket támadó csoportot) legkésőbb 2018. óta aktívak és a tevékenységükben növekedés figyelhető meg 2019. eleje-közepe óta.
Módszereik közé a célzott adathalász támadások (jellemzően Excel fájlok felhasználásával célba jutattott malware-ek célbajuttatásával együtt gyűjtik a legitim felhasználói adatokat), közbeékelődéses támadások (Man-in-the-Middle) tartoznak, ezek mellett Visual Basic makrókat és PowerShell scripteket, valamint standard HTTP és DNS protokollokat használnak a támadásaik során.
A Hexane/Lyceum csoport is azoknak a támadóknak a sorát gyarapítja, akik előszeretettel támadnak olyan cégeket, akiken keresztül utána könnyebben juthatnak be a valódi célpontjaikat képező (ennek a csoportnak az esetében a telekommunikációs vállalatok mellett az olaj- és gázszektor cégei képezik a célpontokat) szervezetek rendszereibe.
A Hexane/Lyceum a Dragos elemzése szerint mutat bizonyos hasonlóságokat a Magnallium/APT33 és a Chrysene/APT34 csoportokkal, mindhárom csoport fókuszában az olaj- és gázipari szektor cégei tartoznak és további hasonlóságokat is fel lehet fedezni a TTP-ik (tactics, techniques, and procedures) terén.
A téma és a csoport iránt érdeklődők számára a Dragos fent hivatkozott cikke mellett a MITRE ATT&CK for ICS Hexane/Lyceum-ról szóló írása is érdekes lehet.
***
A vendégposzt eredetije az ICS cyber security blogon jelent meg.