LYCEUM dan bahaya phishing tombak

Infrastruktur penting adalah salah satu target yang disukai dari serangan APT (Persistent Advanced Ancaman) canggih. Apa yang benar-benar membuat mereka berbahaya adalah ATP tidak menyerang secara acak, tetapi memiliki tujuan tertentu. Jika serangan cyber canggih berhasil melumpuhkan pasokan air atau mengganggu layanan rumah sakit, APT mencapai misinya: melemahkan negara "musuh".

LYCEUM, ancaman baru

Pada bulan Juli, kami melihat contoh kegiatan ini terhadap infrastruktur kritis ketika APT bernama XENOTIME, yang terkenal menyerang perusahaan minyak di Timur Tengah, mulai memasuki jaringan perusahaan listrik di Amerika Serikat.

Sekarang, APT baru yang disebut LYCEUM telah terdeteksi dengan melibatkan perusahaan gas dan minyak di Timur Tengah. Menurut peneliti Dell SecureWorks, kelompok itu bisa aktif sejak April 2018. Registrasi domain menunjukkan bahwa LYCEUM melakukan serangan di Afrika Selatan tahun lalu, mungkin di sektor telekomunikasi. Fokus kelompok tampaknya untuk mendapatkan dan memperluas akses dalam jaringan target.

Berbagai macam taktik

Untuk mengakses akun perusahaan korban, para penyerang LYCEUM menggunakan taktik yang disebut penyemprotan kata sandi '. Ini adalah penggunaan daftar kata sandi umum yang digunakan untuk mencoba mengakses sejumlah besar akun dalam serangan brute force. Setelah akun dikompromikan, grup menggunakannya untuk melakukan serangan phishing tombak terhadap pengguna lain di perusahaan, mengirim file Excel berbahaya.

Ciri penasaran dari kampanye ini adalah perasaan ironis para penyerang. Banyak email menggunakan subjek yang terkait dengan "praktik keamanan terbaik." Misalnya, email berisi lampiran jahat yang disebut password 25 kata sandi terburuk tahun 2017 ’.

Ketika pengguna mengklik Excel terlampir, malware yang disebut DanBot, Trojan akses jarak jauh (RAT), digunakan, yang dapat digunakan untuk menjalankan perintah sewenang-wenang dan untuk mengunggah dan mengunduh file. Alat lain yang menggunakan LYCEUM disebut kl.ps, Itu adalah keylogger khusus.

Asal usul LYCEUM

Meskipun informasi yang dicatat, kelompok peneliti tampaknya tidak dapat menentukan asal LYCEUM, tetapi mereka sebelumnya telah melihat beberapa gaya yang digunakan oleh kelompok penjahat dunia maya ini, menjelaskan Rafe Pilling dari SecureWorks, “Sangat menarik untuk menemukan kelompok baru dengan gaya yang mirip dengan APT Iran, tetapi yang sebaliknya tidak memiliki karakteristik teknis yang memungkinkan kami untuk menghubungkannya dengan aktivitas yang didokumentasikan sebelumnya. "

Bagaimana cara mempertahankan diri dari ancaman ini

Intrusi penyerang ke perusahaan atau organisasi apa pun merupakan masalah penting. Tetapi ketika menyangkut organisasi yang mengendalikan sesuatu yang sama pentingnya dengan energi suatu negara, melindungi dari ancaman ini menjadi penting.

Penggunaan teknik seperti 'penyemprotan kata sandi' menggarisbawahi pentingnya kata sandi yang kuat. Kombinasi yang jelas seperti qwerty atau 1234 tidak boleh digunakan. Penting juga untuk tidak mendaur ulang kata sandi di beberapa akun – jika kata sandi digunakan untuk semua layanan, pelanggaran data dapat memberikan kredensial yang dapat digunakan dalam serangan padding kredensial.

Penggunaan lampiran jahat dalam kampanye ini mengingatkan kami akan pentingnya berhati-hati dengan file yang kami terima di email. Dalam kasus LYCEUM, ini sangat relevan, sejak penggunaan phishing tombak Ini berarti bahwa email-email tersebut tampaknya berasal dari mitra yang dikenal. Anda harus bertanya pada diri sendiri apakah pasangan yang dimaksud benar-benar akan mengirim file seperti itu.

Elemen vital lainnya dalam melindungi dari ancaman ini adalah solusi keamanan siber canggih. Panda Adaptive Defense secara konstan memonitor semua proses yang berjalan dalam sistem komputer. Itu menghentikan proses mencurigakan sebelum dieksekusi. Ini berarti bahwa, bahkan jika file berbahaya tiba di email, itu tidak akan membahayakan perusahaan Anda.