LazyScripter APT

Výzkumníci z Infosec se domnívají, že se jim podařilo izolovat aktivitu nové skupiny APT (Advanced Persistent Threat), kterou pojmenovali LazyScript. Je třeba poznamenat, že LazyScript sdílí poměrně hodně podobností s mnoha již zavedenými skupinami APT, zejména těmi ze Středního východu. Bylo například pozorováno, že jak LazyScript, tak MuddyWater používají malwarové nástroje Empire a Koadic, PowerShell a GitHub jako úložiště dat. Skupina se sídlem v Rusku známá jako APT28 (aka FancyBear) také v minulosti používala malware Koadic. Kromě toho je metodika, kterou používá LazyScript k převodu skriptů PowerShell na spustitelné soubory, stejná jako u OilRig APT .

LazyScript má dostatek jedinečných aspektů, které opravňují k jejich vytvoření jako samostatné entity. Zdá se, že skupina má extrémně úzký soubor cílů – Mezinárodní asociaci leteckých dopravců (IATA), několik dalších leteckých operátorů a vybrané jednotlivce, kteří se možná chystají přestěhovat do Kanady v rámci vládních programů souvisejících s prací. Cílem hackerů je získat od svých obětí citlivé informace, které lze následně využít jako zbraň v rámci současných aktivit i budoucích operací. Další charakteristikou, která odlišuje LazyScript od ostatních, je relativně nižší sofistikovanost sady malwarových nástrojů ve srovnání s jinými skupinami ATP. Ve skutečnosti se zdá, že hrozivý arzenál LazyScriptu se skládá převážně z open source nebo komerčně dostupných nástrojů pro vzdálený přístup bez jakýchkoliv zákaznických hrozeb RAT. Doposud se LazyScript spoléhal na následující malwarové hrozby:

• Octopus – open source Windows RAT, který dokáže sklízet a exfiltrovat data, zavádět průzkumné rutiny a provádět profilování systému.
• Koadic - open-source nástroj používaný pro penetrační testování, dodávání užitečného zatížení a generování implantátů.
• LuminosityLink - RAT používaný pro dálkové ovládání infikovaných systémů a špionážní aktivity
• Remcos – RAT, který umožňuje útočníkům získat plnou kontrolu nad napadeným zařízením
• KOCTUPUS - hrozivý zavaděč, který má za úkol iniciovat PowerShell Empire na infikovaných zařízeních.

Útoky LazyScriptu začínají šířením spamových e-mailů obsahujících phishingové návnady na zájmové jednotlivce. Phishingové e-maily mohou využívat několik různých scénářů navržených tak, aby upoutaly pozornost oběti. Nejpoužívanější témata úzce souvisí s cíli hackerů – IATA, aerolinkami a cestováním do Kanady v rámci pracovních programů. Hackeři také použili návnady spojené se službou finančního vypořádání s názvem BSPLink, COVID-19, aktualizace Microsoftu, cestovní ruch nebo kanadské programy související s pracovníky. Bylo potvrzeno, že v jednom případě hackeři dokonce použili legitimní kanadské imigrační webové stránky ve svém phishingovém schématu.