LazyScripter APT

Οι ερευνητές της Infosec πιστεύουν ότι κατάφεραν να απομονώσουν τη δραστηριότητα μιας νέας ομάδας APT (Advanced Persistent Threat) που ονόμασαν LazyScript. Πρέπει να σημειωθεί ότι το LazyScript έχει πολλές ομοιότητες με πολλές ήδη καθιερωμένες ομάδες APT, κυρίως αυτές από τη Μέση Ανατολή. Για παράδειγμα, τόσο το LazyScript όσο και το MuddyWater έχουν παρατηρηθεί ότι χρησιμοποιούν τα εργαλεία κακόβουλου λογισμικού Empire και Koadic, το PowerShell και το GitHub ως αποθετήρια ωφέλιμου φορτίου. Η ομάδα με έδρα τη Ρωσία, γνωστή ως APT28 (γνωστή και ως FancyBear) έχει επίσης χρησιμοποιήσει το κακόβουλο λογισμικό Koadic στο παρελθόν. Επιπλέον, η μεθοδολογία που χρησιμοποιείται από το LazyScript για τη μετατροπή των σεναρίων PowerShell σε εκτελέσιμα αρχεία είναι η ίδια με αυτή του OilRig APT .

Υπάρχουν αρκετές μοναδικές πτυχές σχετικά με το LazyScript για να δικαιολογηθεί η καθιέρωσή τους ως ξεχωριστή οντότητα. Η ομάδα φαίνεται να έχει ένα εξαιρετικά στενό σύνολο στόχων - τη Διεθνή Ένωση Αεροπορικών Μεταφορών (IATA), πολλούς άλλους αερομεταφορείς και επιλεγμένα άτομα που μπορεί να σχεδιάζουν να μετακομίσουν στον Καναδά ως μέρος κυβερνητικών προγραμμάτων που σχετίζονται με θέσεις εργασίας. Ο στόχος των χάκερ είναι να αποκτήσουν ευαίσθητες πληροφορίες από τα θύματά τους, οι οποίες στη συνέχεια μπορούν να οπλιστούν τόσο ως μέρος των τρεχουσών δραστηριοτήτων όσο και των μελλοντικών επιχειρήσεων. Ένα άλλο χαρακτηριστικό που ξεχωρίζει το LazyScript είναι η σχετικά χαμηλότερη πολυπλοκότητα στο σύνολο εργαλείων κακόβουλου λογισμικού σε σύγκριση με άλλες ομάδες ATP. Πράγματι, το απειλητικό οπλοστάσιο του LazyScript φαίνεται να αποτελείται κυρίως από ανοιχτού κώδικα ή εμπορικά διαθέσιμα εργαλεία απομακρυσμένης πρόσβασης χωρίς εξατομικευμένες απειλές RAT. Μέχρι στιγμής το LazyScript βασιζόταν στις ακόλουθες απειλές κακόβουλου λογισμικού:

• Octopus - Windows RAT ανοιχτού κώδικα που μπορεί να συλλέξει και να διεισδύσει δεδομένα, να δημιουργήσει ρουτίνες αναγνώρισης και να πραγματοποιήσει προφίλ συστήματος.
• Koadic - εργαλείο ανοιχτού κώδικα που χρησιμοποιείται για δοκιμές διείσδυσης, παράδοση ωφέλιμων φορτίων και δημιουργία εμφυτευμάτων.
• LuminosityLink - RAT που χρησιμοποιείται για τον απομακρυσμένο έλεγχο των μολυσμένων συστημάτων και τις δραστηριότητες κατασκοπείας
• Remcos - RAT που επιτρέπει στους εισβολείς να αποκτήσουν τον πλήρη έλεγχο της παραβιασμένης συσκευής
• KOCTUPUS - απειλητικός φορτωτής με αποστολή την εκκίνηση του PowerShell Empire στις μολυσμένες συσκευές.

Οι επιθέσεις του LazyScript ξεκινούν με τη διάδοση ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν θέλγητρα phishing σε άτομα που ενδιαφέρονται. Τα μηνύματα ηλεκτρονικού ψαρέματος ενδέχεται να χρησιμοποιούν πολλά διαφορετικά σενάρια σχεδιασμένα να προσελκύουν την προσοχή του θύματος. Τα πιο χρησιμοποιούμενα θέματα συνδέονται στενά με τους στόχους των χάκερ - την IATA, τις αεροπορικές εταιρείες και τα ταξίδια στον Καναδά ως μέρος προγραμμάτων που σχετίζονται με την εργασία. Οι χάκερ έχουν χρησιμοποιήσει επίσης δολώματα που συνδέονται με μια υπηρεσία χρηματοοικονομικού διακανονισμού που ονομάζεται BSPLink, COVID-19, ενημερώσεις της Microsoft, τουρισμός ή προγράμματα που σχετίζονται με τους Καναδούς εργαζομένους. Επιβεβαιώθηκε ότι σε μία περίπτωση οι χάκερ χρησιμοποίησαν ακόμη και έναν νόμιμο καναδικό ιστότοπο μετανάστευσης στο πρόγραμμα phishing τους.