LazyScripter APT

До GoldSparrow през Advanced Persistent Threat (APT)г

Превод на:

Изследователите на Infosec смятат, че са успели да изолират дейността на нова APT (Advanced Persistent Threat) група, която са нарекли LazyScript. Трябва да се отбележи, че LazyScript споделя доста прилики с множество вече установени APT групи, главно тези от Близкия изток. Например, както LazyScript, така и MuddyWater са наблюдавани като използват инструментите за злонамерен софтуер Empire и Koadic, PowerShell и GitHub като хранилища за полезен товар. Базираната в Русия група, известна като APT28 (известна още като FancyBear), също е използвала зловредния софтуер Koadic в миналото. Освен това методологията, използвана от LazyScript за конвертиране на PowerShell скриптове в изпълними файлове, е същата като тази на OilRig APT .

Има достатъчно уникални аспекти за LazyScript, които да оправдаят установяването им като отделен обект. Групата изглежда има изключително тесен набор от цели - Международната асоциация за въздушен транспорт (IATA), множество други авиокомпании и избрани лица, които може да планират да се преместят в Канада като част от правителствени програми, свързани с работата. Целта на хакерите е да получат чувствителна информация от своите жертви, която след това може да бъде въоръжена както като част от текущи дейности, така и като част от бъдещи операции. Друга характеристика, която отличава LazyScript, е относително по-ниската сложност на набора от инструменти за злонамерен софтуер в сравнение с други ATP групи. Наистина, заплашителният арсенал на LazyScript изглежда се състои предимно от инструменти с отворен код или налични в търговската мрежа инструменти за отдалечен достъп без никакви персонализирани RAT заплахи. Досега LazyScript разчиташе на следните заплахи за злонамерен софтуер:

Octopus - Windows RAT с отворен код, който може да събира и ексфилтрира данни, да установява рутинни процедури за разузнаване и да извършва профилиране на системата.
Koadic - инструмент с отворен код, използван за тестване на проникване, доставяне на полезни товари и генериране на импланти.
LuminosityLink - RAT, използван за дистанционно управление на заразените системи и шпионска дейност
Remcos - RAT, който позволява на нападателите да установят пълен контрол върху компрометираното устройство
KOCTUPUS - заплашителен зареждач със задача да инициира PowerShell Empire на заразените устройства.

Атаките на LazyScript започват с разпространението на спам имейли, съдържащи фишинг примамки до лица, които представляват интерес. Фишинг имейлите могат да използват няколко различни сценария, предназначени да привлекат вниманието на жертвата. Най-използваните теми са тясно свързани с целите на хакерите - IATA, авиокомпаниите и пътуванията до Канада като част от програми, свързани с работата. Хакерите също са използвали примамки, свързани с услуга за финансово сетълмент, наречена BSPLink, COVID-19, актуализации на Microsoft, туризъм или програми, свързани с канадските работници. Беше потвърдено, че в един случай хакерите дори са използвали легитимен канадски имиграционен уебсайт в своята схема за фишинг.