LazyScripter APT

Infosec-onderzoekers denken dat ze erin geslaagd zijn de activiteit te isoleren van een nieuwe APT-groep (Advanced Persistent Threat) die ze LazyScript hebben genoemd. Opgemerkt moet worden dat LazyScript nogal wat overeenkomsten vertoont met meerdere reeds gevestigde APT-groepen, voornamelijk die uit het Midden-Oosten. Er is bijvoorbeeld waargenomen dat zowel LazyScript als MuddyWater de Empire- en Koadic-malwaretools, PowerShell en GitHub gebruiken als opslagplaatsen voor payloads. De in Rusland gevestigde groep die bekend staat als APT28 (ook bekend als FancyBear) heeft in het verleden ook de Koadic-malware gebruikt. Bovendien is de methodologie die door LazyScript wordt gebruikt om PowerShell-scripts naar uitvoerbare bestanden te converteren dezelfde als die van de OilRig APT.

Er zijn genoeg unieke aspecten aan LazyScript om te rechtvaardigen dat ze als een afzonderlijke entiteit worden opgericht. De groep lijkt een zeer beperkt aantal doelen te hebben: de International Air Transport Association (IATA), meerdere andere luchtvaartmaatschappijen en geselecteerde personen die mogelijk van plan zijn om naar Canada te verhuizen als onderdeel van werkgerelateerde overheidsprogramma's. Het doel van de hackers is om gevoelige informatie van hun slachtoffers te verkrijgen die vervolgens kan worden bewapend, zowel als onderdeel van huidige activiteiten als toekomstige operaties. Een ander kenmerk dat LazyScript onderscheidt, is de relatief lagere verfijning in de malware-toolset in vergelijking met andere ATP-groepen. Het dreigende arsenaal van LazyScript lijkt inderdaad voornamelijk te bestaan uit open source of commercieel beschikbare tools voor externe toegang zonder op maat gemaakte RAT-bedreigingen. Tot dusver vertrouwde LazyScript op de volgende malwarebedreigingen:

• Octopus - open-source Windows RAT die gegevens kan verzamelen en exfiltreren, verkenningsroutines kan vaststellen en systeemprofilering kan uitvoeren.
• Koadic - open-source tool gebruikt voor penetratietesten, het leveren van payloads en het genereren van implantaten.
• LuminosityLink - RAT gebruikt voor controle op afstand over de geïnfecteerde systemen en spionageactiviteiten
• Remcos - RAT waarmee de aanvallers volledige controle krijgen over het gecompromitteerde apparaat
• KOCTUPUS - bedreigende loader belast met het initiëren van PowerShell Empire op de geïnfecteerde apparaten.

De aanvallen van LazyScript beginnen met de verspreiding van spam-e-mails met phishing-lokken naar interessante personen. De phishing-e-mails kunnen verschillende scenario's gebruiken die zijn ontworpen om de aandacht van het slachtoffer te trekken. De meest gebruikte thema's hangen nauw samen met de doelen van de hackers: de IATA, luchtvaartmaatschappijen en reizen naar Canada als onderdeel van werkgerelateerde programma's. De hackers hebben ook aas gebruikt dat is gekoppeld aan een financiële afwikkelingsdienst genaamd BSPLink, COVID-19, Microsoft-updates, toerisme of Canadese werknemersgerelateerde programma's. Er is bevestigd dat de hackers in één geval zelfs een legitieme Canadese immigratiewebsite gebruikten voor hun phishing-programma.