LazyScripter APT

Infoseci teadlased usuvad, et neil on õnnestunud isoleerida uue APT (Advanced Persistent Threat) grupi tegevus, millele nad panid nimeks LazyScript. Tuleb märkida, et LazyScriptil on üsna palju sarnasusi mitme juba loodud APT rühmaga, peamiselt Lähis-Ida rühmadega. Näiteks on täheldatud, et nii LazyScript kui ka MuddyWater kasutavad Empire'i ja Koadicu pahavara tööriistu ning PowerShelli ja GitHubi kasuliku koormuse hoidlatena. Venemaal asuv grupp, tuntud kui APT28 (teise nimega FancyBear), on varem kasutanud ka Koadicu pahavara. Pealegi on LazyScripti kasutatav metoodika PowerShelli skriptide täitmisfailideks teisendamiseks sama, mis OilRig APT-l .

LazyScriptis on piisavalt unikaalseid aspekte, et õigustada nende loomist eraldi üksusena. Näib, et rühmal on väga kitsad eesmärgid – Rahvusvaheline Lennutranspordi Assotsiatsioon (IATA), mitmed teised lennuettevõtjad ja valitud isikud, kes kavatsevad valitsuse tööga seotud programmide raames Kanadasse kolida. Häkkerite eesmärk on hankida oma ohvritelt tundlikku teavet, mida saab seejärel relvastada nii praeguse tegevuse kui ka tulevaste operatsioonide raames. Veel üks LazyScripti eristav omadus on pahavara tööriistakomplekti suhteliselt madalam keerukus võrreldes teiste ATP-rühmadega. Tõepoolest, LazyScripti ähvardav arsenal näib koosnevat peamiselt avatud lähtekoodiga või kaubanduslikult saadaolevatest kaugjuurdepääsu tööriistadest ilma kohandatud RAT-ohtudeta. Siiani on LazyScript tuginenud järgmistele pahavaraohtudele:

• Octopus – avatud lähtekoodiga Windows RAT, mis suudab andmeid koguda ja välja filtreerida, luua tutvumisrutiine ja koostada süsteemiprofiile.
• Koadic – avatud lähtekoodiga tööriist, mida kasutatakse läbitungimise testimiseks, kasuliku koormuse kohaletoimetamiseks ja implantaatide genereerimiseks.
• LuminosityLink – RAT, mida kasutatakse nakatunud süsteemide ja spionaažitegevuse kaugjuhtimiseks
• Remcos – RAT, mis võimaldab ründajatel luua täielik kontroll ohustatud seadme üle
• KOCTUPUS – ähvardav laadija, mille ülesandeks on käivitada nakatunud seadmetes PowerShell Empire.

LazyScripti rünnakud algavad andmepüügipeibutusi sisaldavate rämpspostide levitamisega huvipakkuvatele isikutele. Andmepüügimeilid võivad kasutada mitut erinevat stsenaariumi, mis on loodud ohvri tähelepanu tõmbamiseks. Enimkasutatavad teemad on tihedalt seotud häkkerite sihtmärkidega – IATA, lennufirmad ja reisid Kanadasse tööga seotud programmide raames. Häkkerid on kasutanud ka peibutussööta, mis on seotud finantsarveldusteenusega, mille nimi on BSPLink, COVID-19, Microsofti värskendused, turism või Kanada töötajatega seotud programmid. On kinnitatud, et ühel juhul kasutasid häkkerid oma andmepüügiskeemis isegi Kanada seaduslikku immigratsiooniveebisaiti.