레이지스크립터 APT

Infosec 연구원들은 그들이 LazyScript라고 명명한 새로운 APT(Advanced Persistent Threat) 그룹의 활동을 격리하는 데 성공했다고 믿습니다. LazyScript는 이미 설립된 여러 APT 그룹(주로 중동의 그룹)과 상당히 많은 유사점을 공유한다는 점에 유의해야 합니다. 예를 들어, LazyScript와 MuddyWater 모두 Empire 및 Koadic 멀웨어 도구, PowerShell 및 GitHub를 페이로드 리포지토리로 사용하는 것으로 관찰되었습니다. APT28 (FancyBear라고도 함)로 알려진 러시아 기반 그룹도 과거에 Koadic 악성코드를 사용한 적이 있습니다. 게다가, PowerShell 스크립트를 실행 파일로 변환하기 위해 LazyScript가 사용하는 방법론은 OilRig APT 의 방법론과 동일합니다.

LazyScript에는 별도의 엔터티로 설정하는 것을 정당화하기에 충분한 고유한 측면이 있습니다. 이 그룹은 IATA(국제항공운송협회), 기타 여러 항공사, 정부 직무 관련 프로그램의 일환으로 캐나다로 이주할 계획인 선별된 개인 등 극히 좁은 목표를 갖고 있는 것으로 보입니다. 해커의 목표는 피해자로부터 민감한 정보를 얻은 다음 현재 활동과 향후 작업의 일부로 무기화할 수 있도록 하는 것입니다. LazyScript를 차별화하는 또 다른 특징은 다른 ATP 그룹과 비교할 때 멀웨어 도구 집합의 정교함이 상대적으로 낮다는 것입니다. 실제로 LazyScript의 위협적인 무기는 맞춤형 RAT 위협 없이 대부분 오픈 소스 또는 상업적으로 이용 가능한 원격 액세스 도구로 구성된 것으로 보입니다. 지금까지 LazyScript는 다음 맬웨어 위협에 의존해 왔습니다.

• Octopus - 데이터를 수집 및 추출하고, 정찰 루틴을 설정하고, 시스템 프로파일링을 수행할 수 있는 오픈 소스 Windows RAT입니다.
• Koadic - 침투 테스트, 페이로드 전달 및 임플란트 생성에 사용되는 오픈 소스 도구입니다.
• LuminosityLink - 감염된 시스템 및 스파이 활동에 대한 원격 제어에 사용되는 RAT
• Remcos - 공격자가 손상된 장치를 완전히 제어할 수 있도록 하는 RAT
• KOCTUPUS - 감염된 장치에서 PowerShell Empire를 시작하는 위협적인 로더입니다.

LazyScript의 공격은 관심 있는 개인에게 피싱 미끼가 포함된 스팸 이메일을 유포하는 것으로 시작됩니다. 피싱 이메일은 피해자의 주의를 끌기 위해 설계된 여러 가지 시나리오를 사용할 수 있습니다. 가장 많이 사용되는 테마는 IATA, 항공사 및 취업 관련 프로그램의 일환으로 캐나다 여행과 같은 해커의 대상과 밀접하게 연결되어 있습니다. 해커는 또한 BSPLink라는 금융 결제 서비스, COVID-19, Microsoft 업데이트, 관광 또는 캐나다 근로자 관련 프로그램과 연결된 미끼를 사용했습니다. 한 경우 해커가 합법적인 캐나다 이민 웹사이트를 피싱 계획에 사용한 것으로 확인되었습니다.