LazyScripter APT

Infosec গবেষকরা বিশ্বাস করেন যে তারা একটি নতুন APT (Advanced Persistent Threat) গ্রুপের কার্যকলাপকে বিচ্ছিন্ন করতে পেরেছেন যেটিকে তারা LazyScript নাম দিয়েছে। এটা অবশ্যই উল্লেখ্য যে LazyScript ইতিমধ্যেই প্রতিষ্ঠিত একাধিক APT গ্রুপের সাথে অনেক মিল শেয়ার করে, প্রধানত মধ্যপ্রাচ্য থেকে। উদাহরণস্বরূপ, LazyScript এবং MuddyWater উভয়কেই এম্পায়ার এবং কোডিক ম্যালওয়্যার টুলস, পাওয়ারশেল এবং গিটহাবকে পেলোড রিপোজিটরি হিসেবে ব্যবহার করা হয়েছে। APT28 (ওরফে ফ্যান্সিবিয়ার) নামে পরিচিত রাশিয়ান ভিত্তিক গ্রুপটি অতীতে কোঅডিক ম্যালওয়্যার ব্যবহার করেছে। এছাড়াও, পাওয়ারশেল স্ক্রিপ্টগুলিকে এক্সিকিউটেবল ফাইলে রূপান্তর করতে LazyScript যে পদ্ধতি ব্যবহার করে তা OilRig APT- এর মতই।

LazyScript সম্পর্কে যথেষ্ট অনন্য দিক রয়েছে যা তাদের একটি পৃথক সত্তা হিসাবে প্রতিষ্ঠার ন্যায্যতা প্রমাণ করতে পারে। গোষ্ঠীটির লক্ষ্যমাত্রা অত্যন্ত সংকীর্ণ বলে মনে হচ্ছে - ইন্টারন্যাশনাল এয়ার ট্রান্সপোর্ট অ্যাসোসিয়েশন (IATA), একাধিক অন্যান্য এয়ারলাইন অপারেটর এবং নির্বাচিত ব্যক্তিরা যারা সরকারি চাকরি-সম্পর্কিত প্রোগ্রামের অংশ হিসাবে কানাডায় যাওয়ার পরিকল্পনা করছেন। হ্যাকারদের লক্ষ্য হল তাদের ভুক্তভোগীদের কাছ থেকে সংবেদনশীল তথ্য প্রাপ্ত করা যা বর্তমান কার্যক্রম এবং ভবিষ্যত ক্রিয়াকলাপের অংশ হিসেবে অস্ত্র ব্যবহার করা যেতে পারে। আরেকটি বৈশিষ্ট্য যা LazyScript কে আলাদা করে তা হল ম্যালওয়্যার টুলসেটে অন্যান্য ATP গ্রুপের তুলনায় তুলনামূলকভাবে কম পরিশীলিততা। প্রকৃতপক্ষে, LazyScript এর হুমকিমূলক অস্ত্রাগারটি বেশিরভাগই ওপেন সোর্স বা বাণিজ্যিকভাবে উপলব্ধ রিমোট অ্যাক্সেস সরঞ্জামগুলির সমন্বয়ে গঠিত বলে মনে হচ্ছে কোনো কাস্টম-মেড RAT হুমকি ছাড়াই। এখনও অবধি LazyScript নিম্নলিখিত ম্যালওয়্যার হুমকির উপর নির্ভর করছে:

• অক্টোপাস - ওপেন-সোর্স উইন্ডোজ RAT যেটি ডেটা সংগ্রহ এবং উত্তোলন করতে পারে, রিকনেসান্স রুটিন স্থাপন করতে পারে এবং সিস্টেম প্রোফাইলিং পরিচালনা করতে পারে।
• Koadic - ওপেন সোর্স টুল পেনিট্রেশন টেস্টিং, পেলোড ডেলিভারি এবং ইমপ্লান্ট তৈরি করার জন্য ব্যবহৃত হয়।
• LuminosityLink - RAT সংক্রামিত সিস্টেম এবং গুপ্তচরবৃত্তির কার্যকলাপের উপর রিমোট কন্ট্রোলের জন্য ব্যবহৃত হয়
• Remcos - RAT যা আক্রমণকারীদের আপস করা ডিভাইসের উপর সম্পূর্ণ নিয়ন্ত্রণ প্রতিষ্ঠা করতে দেয়
• কোক্টুপাস - সংক্রামিত ডিভাইসগুলিতে পাওয়ারশেল এম্পায়ার শুরু করার জন্য হুমকি লোডার।

LazyScript-এর আক্রমণগুলি আগ্রহের ব্যক্তিদের কাছে ফিশিং লোভ সম্বলিত স্প্যাম ইমেলগুলির প্রচারের মাধ্যমে শুরু হয়৷ ফিশিং ইমেলগুলি শিকারের দৃষ্টি আকর্ষণ করার জন্য ডিজাইন করা বিভিন্ন পরিস্থিতিতে নিয়োগ করতে পারে। সর্বাধিক ব্যবহৃত থিমগুলি হ্যাকারদের লক্ষ্যগুলির সাথে ঘনিষ্ঠভাবে সংযুক্ত - IATA, এয়ারলাইনস, এবং চাকরি-সম্পর্কিত প্রোগ্রামগুলির অংশ হিসাবে কানাডায় ভ্রমণ৷ হ্যাকাররা বিএসপিলিঙ্ক, COVID-19, মাইক্রোসফ্ট আপডেট, পর্যটন বা কানাডিয়ান কর্মী-সম্পর্কিত প্রোগ্রাম নামে একটি আর্থিক নিষ্পত্তি পরিষেবার সাথে যুক্ত টোপ ব্যবহার করেছে। এটি নিশ্চিত করা হয়েছে যে একটি উদাহরণে হ্যাকাররা এমনকি তাদের ফিশিং স্কিমে একটি বৈধ কানাডিয়ান ইমিগ্রেশন ওয়েবসাইট নিয়োগ করেছে।