LazyScripter APT

Az Infosec kutatói úgy vélik, hogy sikerült elkülöníteniük egy új APT (Advanced Persistent Threat) csoport tevékenységét, amelyet LazyScript-nek neveztek el. Meg kell jegyezni, hogy a LazyScript meglehetősen sok hasonlóságot mutat több, már kialakult APT csoporttal, főleg a Közel-Keletről. Például a LazyScript és a MuddyWater is az Empire és a Koadic kártevő-eszközöket, a PowerShell és a GitHub pedig hasznos adattárként használja. Az orosz székhelyű APT28 (más néven FancyBear) csoport korábban is használta a Koadic kártevőt. Ezenkívül a LazyScript által a PowerShell-szkriptek futtatható fájlokká konvertálására használt módszer ugyanaz, mint az OilRig APT .

A LazyScriptnek elegendő egyedi szempontja van ahhoz, hogy indokolttá tegye őket külön entitásként. Úgy tűnik, hogy a csoportnak rendkívül szűk célcsoportja van – a Nemzetközi Légi Szállítási Szövetség (IATA), számos más légitársaság üzemeltetője, valamint olyan kiválasztott személyek, akik esetleg Kanadába költöznek a kormányzati munkával kapcsolatos programok részeként. A hackerek célja, hogy érzékeny információkat szerezzenek meg áldozataiktól, amelyek aztán fegyveressé válhatnak mind a jelenlegi, mind a jövőbeni műveletek részeként. Egy másik jellemző, amely megkülönbözteti a LazyScriptet, a rosszindulatú programok eszközkészletének viszonylag alacsonyabb kifinomultsága a többi ATP-csoporthoz képest. Valójában úgy tűnik, hogy a LazyScript fenyegető arzenálja nagyrészt nyílt forráskódú vagy kereskedelmi forgalomban kapható távoli elérési eszközökből áll, egyedi RAT fenyegetések nélkül. A LazyScript eddig a következő rosszindulatú programokra támaszkodott:

• Octopus – nyílt forráskódú Windows RAT, amely képes adatokat gyűjteni és kiszűrni, felderítési rutinokat létrehozni és rendszerprofilokat készíteni.
• Koadic - nyílt forráskódú eszköz, amelyet penetrációs tesztelésre, rakomány szállítására és implantátumok előállítására használnak.
• LuminosityLink – RAT a fertőzött rendszerek és kémtevékenységek távvezérlésére
• Remcos – RAT, amely lehetővé teszi a támadók számára, hogy teljes irányítást szerezzenek a feltört eszköz felett
• KOCTUPUS – fenyegető betöltő, amelynek feladata a PowerShell Empire elindítása a fertőzött eszközökön.

A LazyScript támadásai az adathalász csalókat tartalmazó spam e-mailek terjesztésével kezdődnek az érdeklődő személyekhez. Az adathalász e-mailek többféle forgatókönyvet is alkalmazhatnak, amelyek célja az áldozat figyelmének felkeltése. A leggyakrabban használt témák szorosan kapcsolódnak a hackerek célpontjaihoz - az IATA-hoz, a légitársaságokhoz, valamint a munkával kapcsolatos programok keretében Kanadába utazásokhoz. A hackerek a BSPLink nevű pénzügyi elszámolási szolgáltatáshoz, a COVID-19-hez, a Microsoft frissítéseihez, a turizmushoz vagy a kanadai munkavállalókkal kapcsolatos programokhoz kapcsolódó csalikat is használtak. Megerősítést nyert, hogy egy esetben a hackerek egy legitim kanadai bevándorlási webhelyet is felhasználtak adathalász rendszerükben.