LazyScripter APT

Výskumníci z Infosec sa domnievajú, že sa im podarilo izolovať aktivitu novej skupiny APT (Advanced Persistent Threat), ktorú nazvali LazyScript. Je potrebné poznamenať, že LazyScript zdieľa pomerne veľa podobností s viacerými už etablovanými skupinami APT, najmä so skupinami zo Stredného východu. Napríklad bolo pozorované, že LazyScript aj MuddyWater používajú malvérové nástroje Empire a Koadic, PowerShell a GitHub ako úložiská dát. Skupina so sídlom v Rusku známa ako APT28 (aka FancyBear) tiež v minulosti používala malvér Koadic. Okrem toho metodika používaná LazyScriptom na konverziu skriptov PowerShell na spustiteľné súbory je rovnaká ako metodika OilRig APT .

LazyScript má dostatok jedinečných aspektov na to, aby bolo možné ich zriadiť ako samostatnú entitu. Zdá sa, že skupina má extrémne úzky súbor cieľov – Medzinárodnú asociáciu leteckých dopravcov (IATA), viacero ďalších leteckých operátorov a vybraných jednotlivcov, ktorí sa možno plánujú presťahovať do Kanady v rámci vládnych programov súvisiacich s prácou. Cieľom hackerov je získať od svojich obetí citlivé informácie, ktoré môžu byť následne zneužité ako súčasť súčasných aktivít, ako aj budúcich operácií. Ďalšou charakteristikou, ktorá odlišuje LazyScript od ostatných, je relatívne nižšia náročnosť sady malvérových nástrojov v porovnaní s inými skupinami ATP. V skutočnosti sa zdá, že hrozivý arzenál LazyScriptu pozostáva väčšinou z open source alebo komerčne dostupných nástrojov vzdialeného prístupu bez akýchkoľvek na mieru vyrobených hrozieb RAT. LazyScript sa doteraz spoliehal na nasledujúce hrozby škodlivého softvéru:

• Octopus – open source Windows RAT, ktorý dokáže zbierať a exfiltrovať dáta, zaviesť prieskumné rutiny a vykonávať profilovanie systému.
• Koadic – open-source nástroj používaný na penetračné testovanie, doručovanie užitočného zaťaženia a generovanie implantátov.
• LuminosityLink - RAT používaná na diaľkovú kontrolu nad infikovanými systémami a špionážne aktivity
• Remcos – RAT, ktorý umožňuje útočníkom získať plnú kontrolu nad napadnutým zariadením
• KOCTUPUS - hrozivý nakladač, ktorého úlohou je spustiť PowerShell Empire na infikovaných zariadeniach.

Útoky LazyScriptu sa začínajú šírením spamových e-mailov obsahujúcich phishingové návnady na záujmových jednotlivcov. Phishingové e-maily môžu využívať niekoľko rôznych scenárov navrhnutých tak, aby upútali pozornosť obete. Najpoužívanejšie témy sú úzko späté s cieľmi hackerov - IATA, aerolinky a cesty do Kanady v rámci programov súvisiacich s prácou. Hackeri tiež použili návnady spojené so službou finančného vyrovnania s názvom BSPLink, COVID-19, aktualizácie od spoločnosti Microsoft, cestovný ruch alebo programy súvisiace s kanadskými pracovníkmi. Potvrdilo sa, že v jednom prípade hackeri dokonca použili legitímnu kanadskú imigračnú webovú stránku vo svojej phishingovej schéme.