LazyScripter APT

Infosec tyrėjai mano, kad jiems pavyko izoliuoti naujos APT (Advanced Persistent Threat) grupės, kurią jie pavadino LazyScript, veiklą. Reikia pažymėti, kad LazyScript turi gana daug panašumų su keliomis jau įsteigtomis APT grupėmis, daugiausia iš Artimųjų Rytų. Pavyzdžiui, pastebėta, kad „LazyScript“ ir „ MuddyWater“ naudoja „Empire“ ir „Koadic“ kenkėjiškų programų įrankius, „PowerShell“ ir „GitHub“ kaip naudingos apkrovos saugyklas. Rusijoje įsikūrusi grupė, žinoma kaip APT28 (dar žinoma kaip FancyBear), praeityje taip pat naudojo Koadic kenkėjišką programą. Be to, LazyScript naudojama metodika PowerShell scenarijus konvertuoti į vykdomuosius failus yra tokia pati kaip ir OilRig APT .

Yra pakankamai unikalių „LazyScript“ aspektų, kad būtų pateisinamas jų kaip atskiro subjekto sukūrimas. Panašu, kad grupė turi labai siaurą tikslų rinkinį – Tarptautinę oro transporto asociaciją (IATA), daugybę kitų oro linijų operatorių ir atrinktus asmenis, kurie galbūt planuoja persikelti į Kanadą pagal vyriausybės darbo programas. Įsilaužėlių tikslas – iš savo aukų gauti neskelbtinos informacijos, kuri vėliau gali būti panaudota tiek vykdant dabartinę veiklą, tiek atliekant būsimas operacijas. Kita LazyScript ypatybė, išskirianti, yra palyginti žemesnis kenkėjiškų programų įrankių rinkinio sudėtingumas, palyginti su kitomis ATP grupėmis. Iš tiesų, atrodo, kad grėsmingą LazyScript arsenalą daugiausia sudaro atvirojo kodo arba komerciškai prieinami nuotolinės prieigos įrankiai be jokių pagal užsakymą sukurtų RAT grėsmių. Iki šiol „LazyScript“ rėmėsi šiomis kenkėjiškų programų grėsmėmis:

• Aštuonkojai – atvirojo kodo Windows RAT, galintis rinkti ir išfiltruoti duomenis, nustatyti žvalgybos procedūras ir atlikti sistemos profiliavimą.
• Koadic – atvirojo kodo įrankis, naudojamas skverbties testavimui, naudingų krovinių pristatymui ir implantų generavimui.
• LuminosityLink – RAT, naudojamas nuotoliniam užkrėstų sistemų valdymui ir šnipinėjimo veiklai
• Remcos – RAT, leidžiantis užpuolikams visiškai valdyti pažeistą įrenginį
• KOCTUPUS – grėsmingas krautuvas, kuriam pavesta inicijuoti PowerShell imperiją užkrėstuose įrenginiuose.

„LazyScript“ atakos prasideda nuo nepageidaujamų el. laiškų, kuriuose yra sukčiavimo vilionių, platinimo dominantiems asmenims. Sukčiavimo el. laiškuose gali būti naudojami keli skirtingi scenarijai, skirti atkreipti aukos dėmesį. Dažniausiai naudojamos temos yra glaudžiai susijusios su įsilaužėlių taikiniais – IATA, oro linijomis ir kelionėmis į Kanadą pagal su darbu susijusias programas. Įsilaužėliai taip pat naudojo jaukus, susietus su finansinių atsiskaitymų paslauga, pavadinta BSPLink, COVID-19, „Microsoft“ naujiniais, turizmu arba su Kanados darbuotojais susijusiomis programomis. Patvirtinta, kad vienu atveju įsilaužėliai savo sukčiavimo schemoje netgi panaudojo teisėtą Kanados imigracijos svetainę.