LazyScripter APT

LazyScripter APT

Els investigadors d'Infosec creuen que han aconseguit aïllar l'activitat d'un nou grup APT (Advanced Persistent Threat) que han anomenat LazyScript. Cal tenir en compte que LazyScript comparteix moltes similituds amb diversos grups APT ja establerts, principalment els de l'Orient Mitjà. Per exemple, s'ha observat que tant LazyScript com MuddyWater utilitzen les eines de programari maliciós Empire i Koadic, PowerShell i GitHub com a dipòsits de càrrega útil. El grup rus conegut com APT28 (també conegut com FancyBear) també ha utilitzat el programari maliciós Koadic en el passat. A més, la metodologia utilitzada per LazyScript per convertir scripts de PowerShell en fitxers executables és la mateixa que la de l' OilRig APT .

Hi ha prou aspectes únics sobre LazyScript per justificar establir-los com una entitat separada. Sembla que el grup té un conjunt extremadament reduït d'objectius: l'Associació Internacional de Transport Aeri (IATA), altres operadors de línies aèries i persones seleccionades que poden estar planejant traslladar-se al Canadà com a part de programes governamentals relacionats amb la feina. L'objectiu dels pirates informàtics és obtenir informació sensible de les seves víctimes que després pugui ser armada tant com a part de les activitats actuals com de les operacions futures. Una altra característica que diferencia a LazyScript és la sofisticació relativament menor del conjunt d'eines de programari maliciós en comparació amb altres grups ATP. De fet, l'arsenal amenaçador de LazyScript sembla estar format principalment per eines d'accés remot de codi obert o comercialment disponibles sense cap amenaça de RAT personalitzada. Fins ara, LazyScript ha confiat en les següents amenaces de programari maliciós:

  • Octopus : Windows RAT de codi obert que pot recollir i exfiltrar dades, establir rutines de reconeixement i realitzar perfils del sistema.
  • Koadic: eina de codi obert utilitzada per a proves de penetració, lliurament de càrregues útils i generació d'implants.
  • LuminosityLink - RAT utilitzat per al control remot dels sistemes infectats i activitats d'espionatge
  • Remcos - RAT que permet als atacants establir un control total sobre el dispositiu compromès
  • KOCTUPUS: carregador amenaçador encarregat d'iniciar PowerShell Empire als dispositius infectats.

Els atacs de LazyScript comencen amb la difusió de correus electrònics de correu brossa que contenen esquers de pesca a persones d'interès. Els correus electrònics de pesca poden utilitzar diversos escenaris diferents dissenyats per atreure l'atenció de la víctima. Els temes més utilitzats estan estretament relacionats amb els objectius dels pirates informàtics: la IATA, les companyies aèries i els viatges al Canadà com a part de programes relacionats amb la feina. Els pirates informàtics també han utilitzat esquers vinculats a un servei de liquidació financera anomenat BSPLink, COVID-19, actualitzacions de Microsoft, turisme o programes relacionats amb els treballadors canadencs. S'ha confirmat que, en un cas, els pirates informàtics fins i tot van utilitzar un lloc web d'immigració canadenc legítim en el seu esquema de pesca.

Loading...