LazyScripter APT

Infosec-forskere mener at de har klart å isolere aktiviteten til en ny APT-gruppe (Advanced Persistent Threat) som de har kalt LazyScript. Det må bemerkes at LazyScript deler ganske mange likheter med flere allerede etablerte APT-grupper, hovedsakelig de fra Midtøsten. For eksempel har både LazyScript og MuddyWater blitt observert å bruke Empire og Koadic malware-verktøy, PowerShell og GitHub som nyttelastlager. Den russisk-baserte gruppen kjent som APT28 (aka FancyBear) har også brukt Koadic malware tidligere. Dessuten er metoden som brukes av LazyScript for å konvertere PowerShell-skript til kjørbare filer, den samme som for OilRig APT .

Det er nok unike aspekter ved LazyScript til å rettferdiggjøre å etablere dem som en egen enhet. Gruppen ser ut til å ha et ekstremt smalt sett med mål - International Air Transport Association (IATA), flere andre flyselskapsoperatører og utvalgte personer som kanskje planlegger å flytte til Canada som en del av regjeringens jobbrelaterte programmer. Målet til hackerne er å innhente sensitiv informasjon fra sine ofre som deretter kan bevæpnes både som en del av nåværende aktiviteter og fremtidige operasjoner. En annen egenskap som skiller LazyScript er den relativt lavere sofistikasjonen i malware-verktøysettet sammenlignet med andre ATP-grupper. Det truende arsenalet til LazyScript ser faktisk ut til å bestå hovedsakelig av åpen kildekode eller kommersielt tilgjengelige fjerntilgangsverktøy uten noen skreddersydde RAT-trusler. Så langt har LazyScript vært avhengig av følgende trusler mot skadelig programvare:

• Octopus - åpen kildekode Windows RAT som kan høste og eksfiltrere data, etablere rekognoseringsrutiner og utføre systemprofilering.
• Koadic - åpen kildekode-verktøy som brukes til penetrasjonstesting, levering av nyttelast og generering av implantater.
• LuminosityLink - RAT brukes til fjernkontroll over de infiserte systemene og spionasjeaktiviteter
• Remcos - RAT som lar angriperne etablere full kontroll over den kompromitterte enheten
• KOCTUPUS - truende laster som har i oppgave å starte PowerShell Empire på de infiserte enhetene.

LazyScripts angrep begynner med spredning av spam e-poster som inneholder phishing lokker til enkeltpersoner av interesse. Phishing-e-postene kan bruke flere forskjellige scenarier designet for å tiltrekke oppmerksomheten til offeret. De mest brukte temaene er nært knyttet til målene til hackerne - IATA, flyselskaper og reiser til Canada som en del av jobbrelaterte programmer. Hackerne har også brukt agn knyttet til en økonomisk oppgjørstjeneste kalt BSPLink, COVID-19, Microsoft-oppdateringer, turisme eller kanadiske arbeiderrelaterte programmer. Det har blitt bekreftet at i ett tilfelle brukte hackerne til og med et legitimt kanadisk immigrasjonsnettsted i deres phishing-opplegg.