LazyScripter APT

Infosec istraživači vjeruju da su uspjeli izolirati aktivnost nove APT (Advanced Persistent Threat) grupe koju su nazvali LazyScript. Mora se napomenuti da LazyScript dijeli dosta sličnosti s više već uspostavljenih APT grupa, uglavnom onih s Bliskog istoka. Na primjer, primjećeno je da i LazyScript i MuddyWater koriste Empire i Koadic malware alate, PowerShell i GitHub kao spremišta korisnog opterećenja. Grupa sa sjedištem u Rusiji poznata kao APT28 (aka FancyBear) također je u prošlosti koristila zlonamjerni softver Koadic. Osim toga, metodologija koju koristi LazyScript za pretvaranje PowerShell skripti u izvršne datoteke ista je kao i kod OilRig APT-a .

LazyScript ima dovoljno jedinstvenih aspekata koji opravdavaju njihovo uspostavljanje kao zasebnu cjelinu. Čini se da grupa ima izuzetno uzak skup ciljeva - Međunarodnu asocijaciju za zračni prijevoz (IATA), više drugih zračnih operatera i odabrane pojedince koji se možda planiraju preseliti u Kanadu kao dio vladinih programa vezanih za posao. Cilj hakera je dobiti osjetljive informacije od svojih žrtava koje se onda mogu koristiti oružjem i kao dio trenutnih aktivnosti i budućih operacija. Još jedna karakteristika koja izdvaja LazyScript je relativno niža sofisticiranost u skupu alata za zlonamjerni softver u usporedbi s drugim ATP grupama. Doista, čini se da se prijeteći arsenal LazyScripta uglavnom sastoji od alata otvorenog koda ili komercijalno dostupnih alata za daljinski pristup bez ikakvih prilagođenih RAT prijetnji. Do sada se LazyScript oslanjao na sljedeće prijetnje zlonamjernog softvera:

• Octopus - open-source Windows RAT koji može prikupljati i eksfiltrirati podatke, uspostavljati rutine izviđanja i provoditi profiliranje sustava.
• Koadic - alat otvorenog koda koji se koristi za testiranje penetracije, isporuku tereta i generiranje implantata.
• LuminosityLink - RAT koji se koristi za daljinsko upravljanje zaraženim sustavima i špijunske aktivnosti
• Remcos - RAT koji napadačima omogućuje uspostavljanje potpune kontrole nad kompromitovanim uređajem
• KOCTUPUS - prijeteći loader sa zadatkom da pokrene PowerShell Empire na zaraženim uređajima.

Napadi LazyScript-a počinju širenjem neželjene e-pošte koja sadrži mamce za krađu identiteta pojedincima od interesa. E-poruke za krađu identiteta mogu koristiti nekoliko različitih scenarija dizajniranih da privuku pozornost žrtve. Najčešće korištene teme usko su povezane s metama hakera - IATA-om, zračnim prijevoznicima i putovanjima u Kanadu kao dio programa vezanih za posao. Hakeri su također koristili mamce povezane s uslugom financijske nagodbe BSPLink, COVID-19, Microsoftovim ažuriranjima, turizmom ili kanadskim programima vezanim uz radnike. Potvrđeno je da su u jednom slučaju hakeri čak koristili legitimnu kanadsku imigracijsku web stranicu u svojoj shemi krađe identiteta.