LazyScripter APT

Penyelidik Infosec percaya bahawa mereka telah berjaya mengasingkan aktiviti kumpulan APT (Advanced Persistent Threat) baharu yang mereka namakan LazyScript. Perlu diingat bahawa LazyScript berkongsi banyak persamaan dengan beberapa kumpulan APT yang telah sedia ada, terutamanya dari Timur Tengah. Sebagai contoh, kedua-dua LazyScript dan MuddyWater telah diperhatikan sebagai menggunakan alat perisian hasad Empire dan Koadic, PowerShell dan GitHub sebagai repositori muatan. Kumpulan yang berpangkalan di Rusia yang dikenali sebagai APT28 (aka FancyBear) juga telah menggunakan perisian hasad Koadic pada masa lalu. Selain itu, metodologi yang digunakan oleh LazyScript untuk menukar skrip PowerShell kepada fail boleh laku adalah sama seperti OilRig APT .

Terdapat cukup aspek unik tentang LazyScript untuk mewajarkan untuk mewujudkannya sebagai entiti yang berasingan. Kumpulan itu nampaknya mempunyai set sasaran yang sangat sempit - Persatuan Pengangkutan Udara Antarabangsa (IATA), beberapa pengendali penerbangan lain, dan individu terpilih yang mungkin merancang untuk berpindah ke Kanada sebagai sebahagian daripada program berkaitan pekerjaan kerajaan. Matlamat penggodam adalah untuk mendapatkan maklumat sensitif daripada mangsa mereka yang kemudiannya boleh dipersenjatai sebagai sebahagian daripada aktiviti semasa dan operasi masa depan. Ciri lain yang membezakan LazyScript ialah kecanggihan yang agak rendah dalam set alat perisian hasad jika dibandingkan dengan kumpulan ATP lain. Malah, senjata mengancam LazyScript nampaknya kebanyakannya terdiri daripada alat akses jauh sumber terbuka atau tersedia secara komersil tanpa sebarang ancaman RAT yang dibuat khas. Setakat ini LazyScript telah bergantung pada ancaman perisian hasad berikut:

• Octopus - RAT Windows sumber terbuka yang boleh menuai dan mengeluarkan data, mewujudkan rutin peninjauan dan menjalankan pemprofilan sistem.
• Koadic - alat sumber terbuka yang digunakan untuk ujian penembusan, menghantar muatan dan menjana implan.
• LuminosityLink - RAT digunakan untuk kawalan jauh ke atas sistem yang dijangkiti dan aktiviti pengintipan
• Remcos - RAT yang membolehkan penyerang mewujudkan kawalan penuh ke atas peranti yang terjejas
• KOCTUPUS - pemuat mengancam yang ditugaskan untuk memulakan Empayar PowerShell pada peranti yang dijangkiti.

Serangan LazyScript bermula dengan penyebaran e-mel spam yang mengandungi gewang pancingan data kepada individu yang berminat. E-mel pancingan data mungkin menggunakan beberapa senario berbeza yang direka untuk menarik perhatian mangsa. Tema yang paling banyak digunakan berkait rapat dengan sasaran penggodam - IATA, syarikat penerbangan dan perjalanan ke Kanada sebagai sebahagian daripada program berkaitan pekerjaan. Penggodam juga telah menggunakan umpan yang dikaitkan dengan perkhidmatan penyelesaian kewangan bernama BSPLink, COVID-19, kemas kini Microsoft, pelancongan atau program berkaitan pekerja Kanada. Telah disahkan bahawa dalam satu keadaan penggodam bahkan menggunakan laman web imigresen Kanada yang sah dalam skim pancingan data mereka.