LazyScripter APT

इन्फोसेक के शोधकर्ताओं का मानना है कि उन्होंने एक नए एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह की गतिविधि को अलग करने में कामयाबी हासिल की है, जिसे उन्होंने लेजीस्क्रिप्ट नाम दिया है। यह ध्यान दिया जाना चाहिए कि LazyScript पहले से स्थापित कई APT समूहों के साथ काफी समानताएं साझा करता है, मुख्य रूप से मध्य पूर्व से। उदाहरण के लिए, LazyScript और MuddyWater दोनों को एम्पायर और कोएडिक मालवेयर टूल्स, पॉवरशेल और गिटहब को पेलोड रिपॉजिटरी के रूप में उपयोग करते हुए देखा गया है। APT28 (उर्फ फैंसीबियर) के रूप में जाना जाने वाला रूसी-आधारित समूह भी अतीत में कोआडिक मैलवेयर का उपयोग कर चुका है। इसके अलावा, पॉवरशेल स्क्रिप्ट को निष्पादन योग्य फ़ाइलों में बदलने के लिए LazyScript द्वारा उपयोग की जाने वाली कार्यप्रणाली OilRig APT जैसी ही है।

LazyScript के बारे में पर्याप्त अद्वितीय पहलू हैं जो उन्हें एक अलग इकाई के रूप में स्थापित करने का औचित्य साबित करते हैं। ऐसा प्रतीत होता है कि समूह के लक्ष्यों का एक अत्यंत संकीर्ण समूह है - इंटरनेशनल एयर ट्रांसपोर्ट एसोसिएशन (IATA), कई अन्य एयरलाइन ऑपरेटर, और चयनित व्यक्ति जो सरकारी नौकरी से संबंधित कार्यक्रमों के हिस्से के रूप में कनाडा जाने की योजना बना रहे हैं। हैकर्स का उद्देश्य अपने पीड़ितों से संवेदनशील जानकारी प्राप्त करना है जिसे बाद में वर्तमान गतिविधियों और भविष्य के संचालन के हिस्से के रूप में हथियार बनाया जा सकता है। एक अन्य विशेषता जो LazyScript को अलग करती है, वह है अन्य ATP समूहों की तुलना में मैलवेयर टूलसेट में अपेक्षाकृत कम परिष्कार। वास्तव में, LazyScript के खतरनाक शस्त्रागार में ज्यादातर खुले स्रोत या व्यावसायिक रूप से उपलब्ध रिमोट एक्सेस टूल शामिल हैं, बिना किसी कस्टम-निर्मित RAT खतरों के। अब तक LazyScript निम्नलिखित मैलवेयर खतरों पर निर्भर रहा है:

• Octopus - ओपन-सोर्स विंडोज आरएटी जो डेटा को काट और बाहर निकाल सकता है, टोही रूटीन स्थापित कर सकता है और सिस्टम प्रोफाइलिंग का संचालन कर सकता है।
• कोएडिक - ओपन-सोर्स टूल जिसका उपयोग पैठ परीक्षण, पेलोड वितरित करने और प्रत्यारोपण उत्पन्न करने के लिए किया जाता है।
• LuminosityLink - RAT का उपयोग संक्रमित सिस्टम और जासूसी गतिविधियों पर रिमोट कंट्रोल के लिए किया जाता है
• Remcos - आरएटी जो हमलावरों को समझौता किए गए डिवाइस पर पूर्ण नियंत्रण स्थापित करने की अनुमति देता है
• KOCTUPUS - धमकाने वाले लोडर ने संक्रमित उपकरणों पर पावरशेल एम्पायर शुरू करने का काम सौंपा।

LazyScript के हमले रुचि के व्यक्तियों को फ़िशिंग लालच वाले स्पैम ईमेल के प्रसार के साथ शुरू होते हैं। फ़िशिंग ईमेल पीड़ित का ध्यान आकर्षित करने के लिए डिज़ाइन किए गए कई अलग-अलग परिदृश्यों को नियोजित कर सकते हैं। सबसे अधिक उपयोग की जाने वाली थीम हैकर्स के लक्ष्यों से निकटता से जुड़ी हुई हैं - IATA, एयरलाइंस, और नौकरी से संबंधित कार्यक्रमों के हिस्से के रूप में कनाडा की यात्रा। हैकर्स ने BSPLink, COVID-19, Microsoft अपडेट्स, टूरिज्म या कैनेडियन वर्कर-संबंधित प्रोग्राम्स नाम की फाइनेंशियल सेटलमेंट सर्विस से जुड़े बैट का भी इस्तेमाल किया है। यह पुष्टि की गई है कि एक उदाहरण में हैकर्स ने अपनी फ़िशिंग योजना में एक वैध कनाडाई आप्रवासन वेबसाइट को भी नियोजित किया था।