ICS rendszereket támadó csoportok XI.: Hexane/Lyceum

Az ICS cyber security blog vendégposztja:
ICS rendszereket támadó csoportok XI.: Hexane/Lyceum

2021. április 03. – icscybersec

A Hexane/Lyceum névre keresztelt támadók (Hexane-nek a Dragos, Lyceum-nak a MITRE ATT&CK for ICS framework nevezi ezt az ICS rendszereket támadó csoportot) legkésőbb 2018. óta aktívak és a tevékenységükben növekedés figyelhető meg 2019. eleje-közepe óta.

Módszereik közé a célzott adathalász támadások (jellemzően Excel fájlok felhasználásával célba jutattott malware-ek célbajuttatásával együtt gyűjtik a legitim felhasználói adatokat), közbeékelődéses támadások (Man-in-the-Middle) tartoznak, ezek mellett Visual Basic makrókat és PowerShell scripteket, valamint standard HTTP és DNS protokollokat használnak a támadásaik során.

A Hexane/Lyceum csoport is azoknak a támadóknak a sorát gyarapítja, akik előszeretettel támadnak olyan cégeket, akiken keresztül utána könnyebben juthatnak be a valódi célpontjaikat képező (ennek a csoportnak az esetében a telekommunikációs vállalatok mellett az olaj- és gázszektor cégei képezik a célpontokat) szervezetek rendszereibe.

A Hexane/Lyceum a Dragos elemzése szerint mutat bizonyos hasonlóságokat a Magnallium/APT33 és a Chrysene/APT34 csoportokkal, mindhárom csoport fókuszában az olaj- és gázipari szektor cégei tartoznak és további hasonlóságokat is fel lehet fedezni a TTP-ik (tactics, techniques, and procedures) terén.

A téma és a csoport iránt érdeklődők számára a Dragos fent hivatkozott cikke mellett a MITRE ATT&CK for ICS Hexane/Lyceum-ról szóló írása is érdekes lehet.

***

A vendégposzt eredetije az ICS cyber security blogon jelent meg.

Leave a Comment

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük