LazyScripter APT

Infosec pētnieki uzskata, ka viņiem ir izdevies izolēt jaunas APT (Advanced Persistent Threat) grupas darbību, kuru viņi ir nosaukuši par LazyScript. Jāatzīmē, ka LazyScript ir diezgan daudz līdzību ar vairākām jau izveidotām APT grupām, galvenokārt ar tām no Tuvajiem Austrumiem. Piemēram, gan LazyScript un MuddyWater ir novērota kā izmantojot impēriju un Koadic ļaunprātīgas instrumenti, PowerShell un GitHub kā lietderīgā slodze krātuvēs. Krievijā bāzētā grupa, kas pazīstama kā APT28 (aka FancyBear), arī agrāk ir izmantojusi Koadic ļaunprātīgu programmatūru. Turklāt LazyScript izmantotā metodika, lai pārveidotu PowerShell skriptus izpildāmos failos, ir tāda pati kā OilRig APT .

LazyScript ir pietiekami daudz unikālu aspektu, lai pamatotu to izveidošanu kā atsevišķu vienību. Šķiet, ka grupai ir ārkārtīgi šaurs mērķu kopums — Starptautiskā gaisa transporta asociācija (IATA), vairāki citi aviokompāniju operatori un atsevišķas personas, kuras, iespējams, plāno pārcelties uz Kanādu valdības ar darbu saistīto programmu ietvaros. Hakeru mērķis ir iegūt no saviem upuriem sensitīvu informāciju, ko pēc tam var izmantot gan pašreizējo darbību, gan turpmāko darbību ietvaros. Vēl viena iezīme, kas atšķir LazyScript, ir salīdzinoši zemāka ļaunprātīgas programmatūras rīku kopas izsmalcinātība, salīdzinot ar citām ATP grupām. Patiešām, šķiet, ka draudīgais LazyScript arsenāls galvenokārt sastāv no atvērtā pirmkoda vai komerciāli pieejamiem attālās piekļuves rīkiem bez īpašiem RAT draudiem. Līdz šim LazyScript ir paļāvies uz šādiem ļaunprātīgas programmatūras draudiem:

  • Octopus — atvērtā pirmkoda Windows RAT, kas var iegūt un izfiltrēt datus, izveidot izlūkošanas rutīnas un veikt sistēmas profilēšanu.
  • Koadic - atvērtā koda rīks, ko izmanto iespiešanās testēšanai, kravas piegādei un implantu ģenerēšanai.
  • LuminosityLink — RAT, ko izmanto inficēto sistēmu tālvadībai un spiegošanas darbībām
  • Remcos — RAT, kas ļauj uzbrucējiem izveidot pilnīgu kontroli pār apdraudēto ierīci
  • KOCTUPUS — draudošs ielādētājs, kura uzdevums ir aktivizēt PowerShell impēriju inficētajās ierīcēs.

LazyScript uzbrukumi sākas ar surogātpasta e-pasta ziņojumu izplatīšanu, kas satur pikšķerēšanas vilinājumus interesējošām personām. Pikšķerēšanas e-pastos var tikt izmantoti vairāki dažādi scenāriji, kas paredzēti, lai piesaistītu upura uzmanību. Visbiežāk izmantotās tēmas ir cieši saistītas ar hakeru mērķiem - IATA, aviokompānijām un ceļojumiem uz Kanādu ar darbu saistīto programmu ietvaros. Hakeri ir arī izmantojuši ēsmas, kas saistītas ar finanšu norēķinu pakalpojumu BSPLink, COVID-19, Microsoft atjauninājumiem, tūrismu vai ar Kanādas darbiniekiem saistītām programmām. Ir apstiprināts, ka vienā gadījumā hakeri savā pikšķerēšanas shēmā pat izmantoja likumīgu Kanādas imigrācijas vietni.

Tendences

Visvairāk skatīts

Notiek ielāde...