LazyScripter APT

LazyScripter APT

محققان Infosec معتقدند که آنها موفق شده اند فعالیت یک گروه جدید APT (تهدید پایدار پیشرفته) را که LazyScript نامیده اند، جدا کنند. لازم به ذکر است که LazyScript شباهت های بسیار زیادی با چندین گروه APT از قبل تأسیس شده دارد، به ویژه آنهایی که از خاورمیانه هستند. به عنوان مثال، هر دو LazyScript و MuddyWater به عنوان با استفاده از امپراتوری و ابزار نرم افزارهای مخرب Koadic، PowerShell و گیتهاب به عنوان مخازن حمل بار مشاهده شده است. گروه مستقر در روسیه به نام APT28 (معروف به FancyBear) نیز در گذشته از بدافزار Koadic استفاده کرده است. علاوه بر این، روش استفاده شده توسط LazyScript برای تبدیل اسکریپت های PowerShell به فایل های اجرایی مشابه روش OilRig APT است .

جنبه‌های منحصربه‌فرد کافی در مورد LazyScript وجود دارد تا بتوان آنها را به عنوان یک موجودیت جداگانه توجیه کرد. به نظر می رسد این گروه دارای مجموعه بسیار محدودی از اهداف است - انجمن بین المللی حمل و نقل هوایی (IATA)، چندین اپراتور هواپیمایی دیگر، و افراد منتخبی که ممکن است به عنوان بخشی از برنامه های مرتبط با شغل دولتی قصد مهاجرت به کانادا را داشته باشند. هدف هکرها به دست آوردن اطلاعات حساس از قربانیان خود است که می تواند هم به عنوان بخشی از فعالیت های فعلی و هم در عملیات آینده مورد استفاده قرار گیرد. یکی دیگر از ویژگی هایی که LazyScript را متمایز می کند، پیچیدگی نسبتاً کمتر در مجموعه ابزار بدافزار در مقایسه با سایر گروه های ATP است. در واقع، به نظر می رسد زرادخانه تهدیدکننده LazyScript عمدتاً از ابزارهای منبع باز یا دسترسی از راه دور تجاری در دسترس بدون هیچ گونه تهدید RAT سفارشی تشکیل شده است. LazyScript تاکنون به تهدیدات بدافزار زیر متکی بوده است:

  • Octopus - Windows RAT منبع باز است که می تواند داده ها را جمع آوری و استخراج کند، روال های شناسایی ایجاد کند و پروفایل سیستم را انجام دهد.
  • Koadic - ابزار منبع باز مورد استفاده برای تست نفوذ، تحویل بار و تولید ایمپلنت.
  • LuminosityLink - RAT برای کنترل از راه دور بر روی سیستم های آلوده و فعالیت های جاسوسی استفاده می شود
  • Remcos - RAT که به مهاجمان اجازه می دهد تا کنترل کاملی بر دستگاه در معرض خطر ایجاد کنند
  • KOCTUPUS - لودر تهدید کننده ای که وظیفه راه اندازی PowerShell Empire در دستگاه های آلوده را دارد.

حملات LazyScript با انتشار ایمیل های اسپم حاوی فریب های فیشینگ به افراد مورد علاقه آغاز می شود. ایمیل های فیشینگ ممکن است از چندین سناریو مختلف استفاده کنند که برای جلب توجه قربانی طراحی شده اند. موضوعاتی که بیشترین استفاده را دارند، ارتباط نزدیکی با اهداف هکرها دارند - IATA، خطوط هوایی، و سفر به کانادا به عنوان بخشی از برنامه های مرتبط با شغل. هکرها همچنین از طعمه‌های مرتبط با سرویس تسویه حساب مالی به نام BSPLink، COVID-19، به‌روزرسانی‌های مایکروسافت، گردشگری یا برنامه‌های مرتبط با کارگران کانادایی استفاده کرده‌اند. تأیید شده است که در یک مورد هکرها حتی از یک وب سایت قانونی مهاجرت کانادایی در طرح فیشینگ خود استفاده کرده اند.

Loading...