LazyScripter APT

Infosec-forskere mener, at de har formået at isolere aktiviteten i en ny APT-gruppe (Advanced Persistent Threat), som de har kaldt LazyScript. Det skal bemærkes, at LazyScript deler ret mange ligheder med flere allerede etablerede APT-grupper, hovedsageligt dem fra Mellemøsten. For eksempel er både LazyScript og MuddyWater blevet observeret som værende Empire og Koadic malware-værktøjer, PowerShell og GitHub som nyttelastrepositorier. Den russisk-baserede gruppe kendt som APT28 (aka FancyBear) har også brugt Koadic-malware tidligere. Desuden er den metode, der bruges af LazyScript til at konvertere PowerShell-scripts til eksekverbare filer, den samme som OilRig APT.

Der er nok unikke aspekter ved LazyScript til at retfærdiggøre oprettelse af dem som en separat enhed. Gruppen ser ud til at have et ekstremt snævert sæt mål - International Air Transport Association (IATA), flere andre luftfartsselskaber og udvalgte personer, der muligvis planlægger at flytte til Canada som en del af regeringens jobrelaterede programmer. Målet med hackerne er at indhente følsomme oplysninger fra deres ofre, som derefter kan våbnes både som en del af aktuelle aktiviteter og fremtidige operationer. En anden egenskab, der adskiller LazyScript, er den relativt lavere sofistikering i malware-værktøjssættet sammenlignet med andre ATP-grupper. Faktisk ser det truende arsenal af LazyScript ud til at bestå hovedsagelig af open source eller kommercielt tilgængelige fjernadgangsværktøjer uden skræddersyede RAT-trusler. Indtil videre har LazyScript været afhængig af følgende malware-trusler:

• Octopus - open-source Windows RAT, der kan høste og exfiltrere data, etablere rekognosceringsrutiner og gennemføre systemprofilering.
• Koadic - open source-værktøj, der bruges til penetrationstest, levering af nyttelast og generering af implantater.
• LuminosityLink - RAT bruges til fjernstyring af de inficerede systemer og spionageaktiviteter
• Remcos - RAT, der giver angriberne mulighed for at etablere fuld kontrol over den kompromitterede enhed
• KOCTUPUS - truende læsser, der har til opgave at starte PowerShell Empire på de inficerede enheder.

LazyScript's angreb begynder med spredning af spam-e-mails, der indeholder phishing-lokker til enkeltpersoner af interesse. Phishing-e-mails kan anvende flere forskellige scenarier designet til at tiltrække offerets opmærksomhed. De mest anvendte temaer er tæt forbundet med målene for hackerne - IATA, flyselskaber og rejser til Canada som en del af jobrelaterede programmer. Hackerne har også brugt lokkemad, der er knyttet til en økonomisk afviklingstjeneste ved navn BSPLink, COVID-19, Microsoft-opdateringer, turisme eller canadiske medarbejderrelaterede programmer. Det er blevet bekræftet, at hackerne i et tilfælde endda brugte et legitimt canadisk immigrationswebsted i deres phishing-ordning.