LazyScripter APT

Infosecin tutkijat uskovat onnistuneensa eristämään uuden APT-ryhmän (Advanced Persistent Threat) toiminnan, jolle he ovat antaneet nimekseen LazyScript. On huomattava, että LazyScriptillä on melko paljon yhtäläisyyksiä useiden jo vakiintuneiden APT-ryhmien kanssa, pääasiassa Lähi-idän ryhmien kanssa. Esimerkiksi sekä LazyScriptin että MuddyWaterin on havaittu käyttävän Empire- ja Koadic-haittaohjelmatyökaluja sekä PowerShell ja GitHub hyötykuormavarastoina. Venäläinen APT28 -ryhmä (alias FancyBear) on myös käyttänyt Koadic-haittaohjelmaa aiemmin. Lisäksi LazyScriptin käyttämä menetelmä PowerShell-skriptien muuntamiseen suoritettaviksi tiedostoiksi on sama kuin OilRig APT:ssä .

LazyScriptissä on tarpeeksi ainutlaatuisia näkökohtia, jotta ne voidaan perustella erilliseksi kokonaisuudeksi. Ryhmällä näyttää olevan erittäin kapea joukko tavoitteita - International Air Transport Association (IATA), useat muut lentoyhtiöt ja valitut henkilöt, jotka saattavat suunnitella muuttavansa Kanadaan osana valtion työhön liittyviä ohjelmia. Hakkereiden tavoitteena on saada uhreilta arkaluonteisia tietoja, jotka voidaan sitten aseistaa osana nykyistä toimintaa ja tulevaa toimintaa. Toinen LazyScriptin erottava ominaisuus on haittaohjelmien työkalusarjan suhteellisen alempi kehittyneisyys verrattuna muihin ATP-ryhmiin. Todellakin, LazyScriptin uhkaava arsenaali näyttää koostuvan enimmäkseen avoimen lähdekoodin tai kaupallisesti saatavilla olevista etäkäyttötyökaluista ilman räätälöityjä RAT-uhkia. Toistaiseksi LazyScript on luottanut seuraaviin haittaohjelmauhkiin:

• Octopus - avoimen lähdekoodin Windows RAT, joka voi kerätä ja suodattaa tietoja, luoda tiedustelurutiineja ja suorittaa järjestelmän profilointia.
• Koadic - avoimen lähdekoodin työkalu, jota käytetään tunkeutumistestaukseen, hyötykuormien toimittamiseen ja implanttien tuottamiseen.
• LuminosityLink - RAT, jota käytetään tartunnan saaneiden järjestelmien kauko-ohjaukseen ja vakoilutoimintoihin
• Remcos - RAT, jonka avulla hyökkääjät voivat hallita täysin vaarantunutta laitetta
• KOCTUPUS - uhkaava latausohjelma, jonka tehtävänä on käynnistää PowerShell Empire tartunnan saaneilla laitteilla.

LazyScriptin hyökkäykset alkavat tietojenkalasteluhousuja sisältävien roskapostiviestien levittämisestä kiinnostuneille henkilöille. Tietojenkalasteluviestit voivat sisältää useita erilaisia skenaarioita, jotka on suunniteltu kiinnittämään uhrin huomio. Eniten käytetyt teemat liittyvät läheisesti hakkereiden kohteisiin - IATA:han, lentoyhtiöihin ja Kanadaan matkustamiseen osana työhön liittyviä ohjelmia. Hakkerit ovat myös käyttäneet syöttejä, jotka on linkitetty BSPLink-nimiseen rahoituspalveluun, COVID-19:ään, Microsoftin päivityksiin, matkailuun tai kanadalaisiin työntekijöihin liittyviin ohjelmiin. On vahvistettu, että yhdessä tapauksessa hakkerit käyttivät jopa laillista kanadalaista maahanmuuttosivustoa tietojenkalasteluohjelmassaan.