LazyScripter APT

يعتقد باحثو Infosec أنهم تمكنوا من عزل نشاط مجموعة APT (التهديد المستمر المتقدم) الجديدة التي أطلقوا عليها اسم LazyScript. وتجدر الإشارة إلى أن LazyScript تشترك في الكثير من أوجه التشابه مع العديد من مجموعات APT القائمة بالفعل ، ولا سيما تلك الموجودة في الشرق الأوسط. على سبيل المثال ، تمت ملاحظة كل من LazyScript و MuddyWater على أنهما يستخدمان أدوات البرامج الضارة Empire و Koadic و PowerShell و GitHub كمستودعات حمولة. استخدمت المجموعة الروسية المعروفة باسم APT28 (المعروفة أيضًا باسم FancyBear) برنامج Koadic الضار في الماضي. بالإضافة إلى ذلك ، فإن المنهجية المستخدمة من قبل LazyScript لتحويل برامج PowerShell النصية إلى ملفات قابلة للتنفيذ هي نفسها المستخدمة في OilRig APT .

هناك جوانب فريدة كافية حول LazyScript لتبرير إنشائها ككيان منفصل. يبدو أن المجموعة لديها مجموعة ضيقة للغاية من الأهداف - الاتحاد الدولي للنقل الجوي (IATA) ، والعديد من شركات الطيران الأخرى ، والأفراد المختارين الذين قد يخططون للانتقال إلى كندا كجزء من البرامج الحكومية المتعلقة بالوظائف. الهدف من المتسللين هو الحصول على معلومات حساسة من ضحاياهم والتي يمكن استخدامها كأسلحة كجزء من الأنشطة الحالية والعمليات المستقبلية. هناك خاصية أخرى تميز LazyScript وهي المستوى الأقل تعقيدًا نسبيًا في مجموعة أدوات البرامج الضارة عند مقارنتها بمجموعات ATP الأخرى. في الواقع ، يبدو أن ترسانة LazyScript المهددة تتكون في الغالب من أدوات وصول عن بُعد مفتوحة المصدر أو متاحة تجاريًا دون أي تهديدات مخصصة لـ RAT. تعتمد LazyScript حتى الآن على تهديدات البرامج الضارة التالية:

  • Octopus - برنامج Windows RAT مفتوح المصدر يمكنه حصاد البيانات وتسربها ، وإنشاء إجراءات استطلاع وإجراء تنميط النظام.
  • Koadic - أداة مفتوحة المصدر تُستخدم لاختبار الاختراق وتوصيل الحمولات وتوليد الغرسات.
  • LuminosityLink - تستخدم أداة التحكم عن بعد للتحكم عن بعد للأنظمة المصابة وأنشطة التجسس
  • Remcos - RAT الذي يسمح للمهاجمين بفرض سيطرة كاملة على الجهاز المخترق
  • KOCTUPUS - محمل تهديد مكلف ببدء PowerShell Empire على الأجهزة المصابة.

تبدأ هجمات LazyScript بنشر رسائل البريد الإلكتروني العشوائية التي تحتوي على عمليات التصيد التي تغري الأفراد المعنيين. قد تستخدم رسائل التصيد الاحتيالي الإلكترونية عدة سيناريوهات مختلفة مصممة لجذب انتباه الضحية. ترتبط الموضوعات الأكثر استخدامًا ارتباطًا وثيقًا بأهداف المتسللين - اتحاد النقل الجوي الدولي وشركات الطيران والسفر إلى كندا كجزء من البرامج المتعلقة بالوظائف. استخدم المتسللون أيضًا طُعمًا مرتبطة بخدمة تسوية مالية تسمى BSPLink أو COVID-19 أو تحديثات Microsoft أو السياحة أو البرامج المتعلقة بالعمال الكنديين. تم التأكيد على أنه في إحدى الحالات استخدم المتسللون موقعًا شرعيًا للهجرة الكندية في مخططهم للتصيد الاحتيالي.

الشائع

الأكثر مشاهدة

جار التحميل...