LazyScripter APT

Cercetătorii Infosec cred că au reușit să izoleze activitatea unui nou grup APT (Advanced Persistent Threat) pe care l-au numit LazyScript. Trebuie remarcat faptul că LazyScript împărtășește destul de multe asemănări cu mai multe grupuri APT deja stabilite, în principal cele din Orientul Mijlociu. De exemplu, s-a observat că atât LazyScript, cât și MuddyWater folosesc instrumentele malware Empire și Koadic, PowerShell și GitHub ca depozite de încărcare utilă. Grupul cu sediul în Rusia, cunoscut sub numele de APT28 (alias FancyBear) a folosit și malware-ul Koadic în trecut. În plus, metodologia folosită de LazyScript pentru a converti scripturile PowerShell în fișiere executabile este aceeași cu cea a OilRig APT .

Există suficiente aspecte unice despre LazyScript pentru a justifica stabilirea lor ca o entitate separată. Grupul pare să aibă un set extrem de restrâns de ținte - Asociația Internațională de Transport Aerian (IATA), mai mulți alți operatori de linii aeriene și persoane selectate care ar putea planifica să se mute în Canada ca parte a programelor guvernamentale legate de locuri de muncă. Scopul hackerilor este de a obține informații sensibile de la victimele lor, care pot fi apoi armate atât ca parte a activităților curente, cât și a operațiunilor viitoare. O altă caracteristică care diferențiază LazyScript este sofisticarea relativ mai scăzută a setului de instrumente malware în comparație cu alte grupuri ATP. Într-adevăr, arsenalul amenințător al LazyScript pare să fie compus în mare parte din instrumente de acces la distanță open source sau disponibile comercial, fără amenințări RAT personalizate. Până acum, LazyScript s-a bazat pe următoarele amenințări malware:

• Octopus - Windows RAT cu sursă deschisă care poate colecta și exfiltra date, poate stabili rutine de recunoaștere și poate efectua profilarea sistemului.
• Koadic - instrument open-source utilizat pentru testarea de penetrare, livrarea sarcinilor utile și generarea de implanturi.
• LuminosityLink - RAT folosit pentru controlul de la distanță asupra sistemelor infectate și activități de spionaj
• Remcos - RAT care permite atacatorilor să stabilească controlul deplin asupra dispozitivului compromis
• KOCTUPUS - încărcător amenințător însărcinat cu inițierea PowerShell Empire pe dispozitivele infectate.

Atacurile lui LazyScript încep cu diseminarea de e-mailuri spam care conțin momeli de phishing către persoanele de interes. E-mailurile de phishing pot folosi mai multe scenarii diferite menite să atragă atenția victimei. Cele mai utilizate teme sunt strâns legate de țintele hackerilor - IATA, companiile aeriene și călătoriile în Canada ca parte a programelor legate de locuri de muncă. Hackerii au folosit, de asemenea, momeli legate de un serviciu de decontare financiară numit BSPLink, COVID-19, actualizări Microsoft, turism sau programe canadiene legate de lucrători. S-a confirmat că, într-un caz, hackerii au folosit chiar și un site web legitim de imigrare canadian în schema lor de phishing.