LazyScripter APT

Исследователи Infosec считают, что им удалось изолировать активность новой группы APT (Advanced Persistent Threat), которую они назвали LazyScript. Следует отметить, что LazyScript имеет много общего с несколькими уже созданными APT-группами, в основном с Ближнего Востока. Например, как LazyScript, так и MuddyWater использовали вредоносные инструменты Empire и Koadic, PowerShell и GitHub в качестве репозиториев полезной нагрузки. Российская группа, известная как APT28 (также известная как FancyBear), также ранее использовала вредоносное ПО Koadic. Кроме того, LazyScript использует ту же методологию для преобразования сценариев PowerShell в исполняемые файлы, что и OilRig APT .

В LazyScript есть достаточно уникальных аспектов, чтобы оправдать создание их как отдельного объекта. У группы, похоже, чрезвычайно узкий набор целей - Международная ассоциация воздушного транспорта (IATA), несколько других операторов авиакомпаний и отдельные лица, которые могут планировать переехать в Канаду в рамках государственных программ, связанных с трудоустройством. Цель хакеров - получить конфиденциальную информацию от своих жертв, которую затем можно использовать в качестве оружия как в рамках текущей деятельности, так и в рамках будущих операций. Еще одна характеристика, которая отличает LazyScript, - это относительно более низкая сложность набора вредоносных программ по сравнению с другими группами ATP. В самом деле, опасный арсенал LazyScript, похоже, состоит в основном из инструментов удаленного доступа с открытым исходным кодом или имеющихся в продаже инструментов без каких-либо специально созданных угроз RAT. До сих пор LazyScript полагался на следующие вредоносные угрозы:

• Octopus - Windows RAT с открытым исходным кодом, который может собирать и извлекать данные, устанавливать процедуры разведки и проводить профилирование системы.
• Koadic - инструмент с открытым исходным кодом, используемый для тестирования на проникновение, доставки полезной нагрузки и создания имплантатов.
• LuminosityLink - RAT, используемый для удаленного контроля над зараженными системами и шпионской деятельности.
• Remcos - RAT, позволяющий злоумышленникам установить полный контроль над скомпрометированным устройством.
• KOCTUPUS - угрожающий загрузчик, которому поручено запустить PowerShell Empire на зараженных устройствах.

Атаки LazyScript начинаются с распространения спам-писем, содержащих фишинговые приманки, среди заинтересованных лиц. В фишинговых письмах могут использоваться несколько различных сценариев, предназначенных для привлечения внимания жертвы. Наиболее часто используемые темы тесно связаны с целями хакеров - IATA, авиакомпаниями и поездками в Канаду в рамках программ, связанных с работой. Хакеры также использовали приманки, связанные с сервисом финансовых расчетов BSPLink, COVID-19, обновлениями Microsoft, туризмом или канадскими программами, связанными с рабочими. Было подтверждено, что в одном случае хакеры даже использовали законный канадский иммиграционный веб-сайт в своей схеме фишинга.