LazyScripter APT

इन्फोसेक अनुसन्धानकर्ताहरूले विश्वास गर्छन् कि उनीहरूले नयाँ एपीटी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहको गतिविधिलाई अलग गर्न व्यवस्थित गरेका छन् जसलाई उनीहरूले LazyScript नाम दिएका छन्। यो ध्यान दिनु पर्छ कि LazyScript ले धेरै पहिले नै स्थापित एपीटी समूहहरु संग धेरै समानताहरु साझा गर्दछ, मुख्य रूप मा मध्य पूर्व देखि। उदाहरणका लागि, दुबै LazyScript र MuddyWater लाई एम्पायर र कोआडिक मालवेयर उपकरणहरू, PowerShell र GitHub लाई पेलोड रिपोजिटरीहरूको रूपमा प्रयोग गरेको रूपमा अवलोकन गरिएको छ। APT28 (उर्फ FancyBear) को रूपमा चिनिने रूसी-आधारित समूहले पनि विगतमा Koadic मालवेयर प्रयोग गरेको छ। यस बाहेक, LazyScript ले PowerShell स्क्रिप्टहरूलाई कार्यान्वयनयोग्य फाइलहरूमा रूपान्तरण गर्न प्रयोग गरेको विधि OilRig APT को जस्तै हो ।

LazyScript को बारे मा एक अलग इकाई को रूप मा स्थापित गर्न को लागी पर्याप्त अद्वितीय पक्षहरु छन्। समूहसँग लक्ष्यहरूको एकदमै साँघुरो सेट देखिन्छ - अन्तर्राष्ट्रिय एयर ट्रान्सपोर्ट एसोसिएसन (IATA), धेरै अन्य एयरलाइन अपरेटरहरू, र चयन गरिएका व्यक्तिहरू जो सरकारी जागिर-सम्बन्धित कार्यक्रमहरूको भागको रूपमा क्यानाडा जाने योजना बनाइरहेका छन्। ह्याकरहरूको उद्देश्य उनीहरूको पीडितहरूबाट संवेदनशील जानकारी प्राप्त गर्नु हो जुन हालको गतिविधिहरू र भविष्यका कार्यहरूको भागको रूपमा हतियार प्रयोग गर्न सकिन्छ। LazyScript लाई अलग सेट गर्ने अर्को विशेषता भनेको मालवेयर टूलसेटमा अन्य ATP समूहहरूको तुलनामा अपेक्षाकृत कम परिष्कार हो। वास्तवमा, LazyScript को धम्कीपूर्ण शस्त्रागारमा कुनै पनि अनुकूलन-निर्मित RAT खतराहरू बिना खुला स्रोत वा व्यावसायिक रूपमा उपलब्ध रिमोट पहुँच उपकरणहरू समावेश गरिएको देखिन्छ। अहिलेसम्म LazyScript निम्न मालवेयर खतराहरूमा भर परेको छ:

• अक्टोपस - खुला स्रोत विन्डोज RAT जसले डेटा काट्न र बाहिर निकाल्न सक्छ, टोही दिनचर्या स्थापना गर्न र प्रणाली प्रोफाइलिङ सञ्चालन गर्न सक्छ।
• Koadic - प्रवेश परीक्षण, पेलोडहरू वितरण र प्रत्यारोपण उत्पन्न गर्न प्रयोग गरिएको खुला स्रोत उपकरण।
• LuminosityLink - RAT संक्रमित प्रणाली र जासुसी गतिविधिहरूमा रिमोट नियन्त्रणको लागि प्रयोग गरिन्छ।
• Remcos - RAT जसले आक्रमणकारीहरूलाई सम्झौता गरिएको उपकरणमा पूर्ण नियन्त्रण स्थापित गर्न अनुमति दिन्छ
• KOCTUPUS - संक्रमित यन्त्रहरूमा PowerShell Empire प्रारम्भ गर्ने कार्यलाई धम्की दिने लोडर।

LazyScript का आक्रमणहरू चासो भएका व्यक्तिहरूलाई फिसिङ प्रलोभनहरू समावेश गर्ने स्प्याम इमेलहरूको प्रसारबाट सुरु हुन्छ। फिसिङ इमेलहरूले पीडितको ध्यान आकर्षित गर्न डिजाइन गरिएका धेरै फरक परिदृश्यहरू प्रयोग गर्न सक्छन्। सबैभन्दा धेरै प्रयोग गरिएका विषयवस्तुहरू ह्याकरहरूको लक्ष्यसँग घनिष्ठ रूपमा जोडिएका छन् - IATA, एयरलाइन्स, र क्यानाडाको यात्रा रोजगार सम्बन्धी कार्यक्रमहरूको भागको रूपमा। ह्याकरहरूले बीएसपीलिङ्क, कोभिड-१९, माइक्रोसफ्ट अपडेट, पर्यटन, वा क्यानाडाली कामदार-सम्बन्धित कार्यक्रमहरू नामक वित्तीय सेटलमेन्ट सेवासँग जोडिएका चाराहरू पनि प्रयोग गरेका छन्। यो पुष्टि भएको छ कि एक उदाहरणमा ह्याकरहरूले आफ्नो फिसिङ योजनामा वैध क्यानाडाली अध्यागमन वेबसाइटलाई पनि प्रयोग गरे।