LazyScripter APT

I ricercatori di Infosec ritengono di essere riusciti a isolare l'attività di un nuovo gruppo APT (Advanced Persistent Threat) che hanno chiamato LazyScript. Va notato che LazyScript condivide molte somiglianze con più gruppi APT già esistenti, principalmente quelli del Medio Oriente. Ad esempio, è stato osservato che sia LazyScript che MuddyWater utilizzano gli strumenti malware Empire e Koadic, PowerShell e GitHub come repository di payload. Anche il gruppo con sede in Russia noto come APT28 (aka FancyBear) ha utilizzato il malware Koadic in passato. Inoltre, la metodologia utilizzata da LazyScript per convertire gli script di PowerShell in file eseguibili è la stessa di OilRig APT.

Ci sono abbastanza aspetti unici su LazyScript per giustificare la loro costituzione come entità separata. Il gruppo sembra avere una serie di obiettivi estremamente ristretti: l'Associazione internazionale per il trasporto aereo (IATA), molti altri operatori aerei e individui selezionati che potrebbero aver intenzione di trasferirsi in Canada come parte di programmi governativi legati al lavoro. Lo scopo degli hacker è quello di ottenere informazioni sensibili dalle loro vittime che possono quindi essere utilizzate come arma sia come parte delle attività attuali che delle operazioni future. Un'altra caratteristica che distingue LazyScript è la sofisticazione relativamente inferiore nel set di strumenti del malware rispetto ad altri gruppi ATP. In effetti, il minaccioso arsenale di LazyScript sembra essere composto principalmente da strumenti di accesso remoto open source o disponibili in commercio senza minacce RAT personalizzate. Finora LazyScript ha fatto affidamento sulle seguenti minacce malware:

• Octopus : RAT Windows open source in grado di raccogliere ed estrarre dati, stabilire routine di ricognizione e condurre la profilazione del sistema.
• Koadic - strumento open source utilizzato per test di penetrazione, consegna di carichi utili e generazione di impianti.
• LuminosityLink - RAT utilizzato per il controllo remoto dei sistemi infetti e delle attività di spionaggio
• Remcos - RAT che consente agli aggressori di stabilire il pieno controllo sul dispositivo compromesso
• KOCTUPUS - minaccioso caricatore incaricato di avviare PowerShell Empire sui dispositivi infetti.

Gli attacchi di LazyScript iniziano con la diffusione di e-mail di spam contenenti esche di phishing a individui di interesse. Le e-mail di phishing possono utilizzare diversi scenari progettati per attirare l'attenzione della vittima. I temi più utilizzati sono strettamente collegati agli obiettivi degli hacker: la IATA, le compagnie aeree e i viaggi in Canada come parte di programmi legati al lavoro. Gli hacker hanno anche utilizzato esche collegate a un servizio di liquidazione finanziaria denominato BSPLink, COVID-19, aggiornamenti Microsoft, turismo o programmi canadesi relativi ai lavoratori. È stato confermato che in un caso gli hacker hanno persino utilizzato un sito Web di immigrazione canadese legittimo nel loro programma di phishing.