LazyScripter APT

Os pesquisadores da Infosec acreditam ter conseguido isolar a atividade de um novo grupo APT (Advanced Persistent Threat) que eles chamaram de LazyScript. Deve-se observar que LazyScript compartilha muitas semelhanças com vários grupos APT já estabelecidos, principalmente aqueles do Oriente Médio. Por exemplo, tanto LazyScript quanto MuddyWater foram observados usando as ferramentas de malware Empire e Koadic, PowerShell e GitHub como repositórios de carga útil. O grupo russo conhecido como APT28 (também conhecido como FancyBear) também usou o malware Koadic no passado. Além disso, a metodologia usada pelo LazyScript para converter scripts do PowerShell em arquivos executáveis é a mesma do OilRig APT.

Existem aspectos únicos suficientes sobre o LazyScript para justificar estabelecê-los como uma entidade separada. O grupo parece ter um conjunto extremamente restrito de alvos - a International Air Transport Association (IATA), várias outras operadoras de companhias aéreas e indivíduos selecionados que podem estar planejando se mudar para o Canadá como parte de programas governamentais relacionados a empregos. O objetivo dos hackers é obter informações confidenciais de suas vítimas que podem ser transformadas em armas tanto como parte das atividades atuais quanto das operações futuras. Outra característica que diferencia o LazyScript é a sofisticação relativamente mais baixa no conjunto de ferramentas de malware quando comparado a outros grupos ATP. Na verdade, o arsenal ameaçador do LazyScript parece ser composto principalmente de ferramentas de código aberto ou de acesso remoto disponíveis comercialmente, sem quaisquer ameaças RAT personalizadas. Até agora, o LazyScript tem confiado nas seguintes ameaças de malware:

• Octopus - RAT de código aberto do Windows que pode coletar e exfiltrar dados, estabelecer rotinas de reconhecimento e conduzir perfis de sistema.
• Koadic - ferramenta de código aberto usada para testes de penetração, entrega de cargas e geração de implantes.
• LuminosityLink - RAT usado para controle remoto sobre os sistemas infectados e atividades de espionagem
• Remcos - RAT que permite que os invasores estabeleçam controle total sobre o dispositivo comprometido
• KOCTUPUS - carregador ameaçador encarregado de iniciar o PowerShell Empire nos dispositivos infectados.

Os ataques do LazyScript começam com a disseminação de e-mails de spam contendo iscas de phishing para indivíduos de interesse. Os emails de phishing podem empregar vários cenários diferentes projetados para atrair a atenção da vítima. Os temas mais usados estão intimamente ligados aos alvos dos hackers - IATA, companhias aéreas e viagens para o Canadá como parte de programas relacionados ao trabalho. Os hackers também usaram iscas vinculadas a um serviço de liquidação financeira denominado BSPLink, COVID-19, atualizações da Microsoft, turismo ou programas relacionados a trabalhadores canadenses. Foi confirmado que, em um caso, os hackers até empregaram um site legítimo de imigração canadense em seu esquema de phishing.