LazyScripter APT

Badacze Infosec uważają, że udało im się wyizolować aktywność nowej grupy APT (Advanced Persistent Threat), którą nazwali LazyScript. Należy zauważyć, że LazyScript ma sporo podobieństw z wieloma już istniejącymi grupami APT, głównie z Bliskiego Wschodu. Na przykład zaobserwowano, że zarówno LazyScript, jak i MuddyWater wykorzystują narzędzia do złośliwego oprogramowania Empire i Koadic, PowerShell i GitHub jako repozytoria ładunku. Rosyjska grupa znana jako APT28 (aka FancyBear) również wykorzystywała w przeszłości szkodliwe oprogramowanie Koadic. Poza tym metodologia stosowana przez LazyScript do konwersji skryptów PowerShell na pliki wykonywalne jest taka sama jak w przypadku OilRig APT .

Istnieje wystarczająco dużo unikalnych aspektów dotyczących LazyScript, aby uzasadnić ustanowienie ich jako oddzielnej jednostki. Wydaje się, że grupa ma bardzo wąski zestaw celów – Międzynarodowe Stowarzyszenie Przewoźników Powietrznych (IATA), wielu innych operatorów linii lotniczych i wybrane osoby, które mogą planować przenieść się do Kanady w ramach rządowych programów związanych z pracą. Celem hakerów jest uzyskanie od swoich ofiar wrażliwych informacji, które można następnie wykorzystać zarówno w ramach bieżących działań, jak i przyszłych operacji. Inną cechą wyróżniającą LazyScript jest stosunkowo mniejsze zaawansowanie zestawu narzędzi szkodliwego oprogramowania w porównaniu z innymi grupami ATP. Rzeczywiście, groźny arsenał LazyScript wydaje się składać głównie z narzędzi typu open source lub dostępnych na rynku narzędzi zdalnego dostępu bez żadnych niestandardowych zagrożeń RAT. Do tej pory LazyScript polegał na następujących zagrożeniach złośliwym oprogramowaniem:

• Octopus — open-source Windows RAT, który może zbierać i eksfiltrować dane, ustalać procedury rozpoznawcze i przeprowadzać profilowanie systemu.
• Koadic — narzędzie typu open source służące do testów penetracyjnych, dostarczania ładunków i generowania implantów.
• LuminosityLink - RAT używany do zdalnej kontroli nad zainfekowanymi systemami i działaniami szpiegowskimi
• Remcos — RAT, który umożliwia atakującym przejęcie pełnej kontroli nad zaatakowanym urządzeniem
• KOCTUPUS - zagrażający program ładujący, którego zadaniem jest inicjowanie PowerShell Empire na zainfekowanych urządzeniach.

Ataki LazyScript rozpoczynają się od rozpowszechniania e-maili spamowych zawierających przynęty phishingowe na zainteresowane osoby. Wiadomości phishingowe mogą wykorzystywać kilka różnych scenariuszy zaprojektowanych w celu przyciągnięcia uwagi ofiary. Najczęściej używane motywy są ściśle powiązane z celami hakerów - IATA, liniami lotniczymi i podróżami do Kanady w ramach programów związanych z pracą. Hakerzy używali również przynęt powiązanych z usługą rozliczeń finansowych o nazwie BSPLink, COVID-19, aktualizacjami Microsoft, turystyką lub programami związanymi z kanadyjskimi pracownikami. Potwierdzono, że w jednym przypadku hakerzy wykorzystali nawet legalną kanadyjską witrynę imigracyjną w swoim programie phishingowym.