LazyScripter APT

חוקרי Infosec מאמינים שהם הצליחו לבודד את פעילותה של קבוצת APT חדשה (Advanced Persistent Threat) שהם כינו LazyScript. יש לציין כי LazyScript חולק די הרבה קווי דמיון עם קבוצות APT מרובות שכבר מבוססות, בעיקר אלו מהמזרח התיכון. לדוגמה, גם LazyScript וגם MuddyWater נצפו כמשתמשים בכלי הזדוניות Empire ו-Koadic, PowerShell ו-GitHub כמאגרי מטען. הקבוצה הרוסית המכונה APT28 (המכונה FancyBear) גם השתמשה בעבר בתוכנה זדונית של Koadic. חוץ מזה, המתודולוגיה שבה משתמש LazyScript כדי להמיר סקריפטים של PowerShell לקבצי הפעלה זהה לזו של OilRig APT .

יש מספיק היבטים ייחודיים ב-LazyScript כדי להצדיק את הקמתם כישות נפרדת. נראה כי לקבוצה יש קבוצה מצומצמת ביותר של יעדים - איגוד התחבורה האווירית הבינלאומי (IATA), מספר מפעילי חברות תעופה אחרים ואנשים נבחרים שאולי מתכננים לעבור לקנדה כחלק מתוכניות ממשלתיות הקשורות לעבודה. מטרת ההאקרים היא להשיג מידע רגיש מקורבנותיהם שניתן יהיה לנשק אותו הן כחלק מהפעילות הנוכחית והן כחלק מהפעולות העתידיות. מאפיין נוסף שמייחד את LazyScript הוא התחכום הנמוך יחסית בערכת הכלים של תוכנות זדוניות בהשוואה לקבוצות ATP אחרות. ואכן, נראה שהארסנל המאיים של LazyScript מורכב בעיקר מכלי קוד פתוח או גישה מרחוק זמינים מסחרית ללא איומי RAT מותאמים אישית. עד כה LazyScript הסתמכה על האיומים הבאים של תוכנות זדוניות:

  • תמנון - RAT של Windows בקוד פתוח שיכול לקצור ולחלץ נתונים, לבסס שגרות סיור ולערוך פרופיל מערכת.
  • Koadic - כלי קוד פתוח המשמש לבדיקות חדירה, אספקת מטענים ויצירת שתלים.
  • LuminosityLink - RAT המשמש לשליטה מרחוק על המערכות הנגועות ופעילויות ריגול
  • Remcos - RAT המאפשר לתוקפים לבסס שליטה מלאה על המכשיר שנפרץ
  • KOCTUPUS - מטעין מאיים שהופקד על הפעלת PowerShell Empire במכשירים הנגועים.

ההתקפות של LazyScript מתחילות בהפצת הודעות דואר זבל המכילות פתיונות דיוג לאנשים בעלי עניין. הודעות ההתחזות עשויות להשתמש במספר תרחישים שונים שנועדו למשוך את תשומת הלב של הקורבן. הנושאים הנפוצים ביותר קשורים קשר הדוק למטרות של ההאקרים - IATA, חברות תעופה ונסיעות לקנדה כחלק מתוכניות הקשורות לעבודה. ההאקרים השתמשו גם בפיתיון המקושר לשירות הסדר פיננסי בשם BSPLink, COVID-19, עדכוני מיקרוסופט, תיירות או תוכניות הקשורות לעובדים קנדיים. אושר שבמקרה אחד ההאקרים אפילו השתמשו באתר הגירה קנדי לגיטימי בתוכנית הדיוג שלהם.

מגמות

הכי נצפה

טוען...