LazyScripter APT

Raziskovalci Infosec verjamejo, da jim je uspelo izolirati dejavnost nove skupine APT (Advanced Persistent Threat), ki so jo poimenovali LazyScript. Treba je opozoriti, da ima LazyScript precej podobnosti z več že uveljavljenimi skupinami APT, predvsem tistimi z Bližnjega vzhoda. Na primer, tako LazyScript kot MuddyWater sta bila opažena, da uporabljata orodji za zlonamerno programsko opremo Empire in Koadic, PowerShell in GitHub kot odlagališča koristnega tovora. Ruska skupina, znana kot APT28 (alias FancyBear), je v preteklosti uporabljala tudi zlonamerno programsko opremo Koadic. Poleg tega je metodologija, ki jo uporablja LazyScript za pretvorbo skriptov PowerShell v izvedljive datoteke, enaka kot pri OilRig APT .

LazyScript ima dovolj edinstvenih vidikov, da upraviči njihovo vzpostavitev kot ločeno entiteto. Zdi se, da ima skupina izjemno ozek nabor ciljev – Mednarodno združenje letalskega prevoza (IATA), številne druge letalske prevoznike in izbrane posameznike, ki se morda nameravajo preseliti v Kanado kot del vladnih programov, povezanih z zaposlitvijo. Cilj hekerjev je od svojih žrtev pridobiti občutljive informacije, ki jih je mogoče nato uporabiti v orožju tako v okviru trenutnih dejavnosti kot prihodnjih operacij. Druga značilnost, ki ločuje LazyScript, je sorazmerno nižja izpopolnjenost nabora orodij za zlonamerno programsko opremo v primerjavi z drugimi skupinami ATP. Dejansko se zdi, da grozeči arzenal LazyScript večinoma sestavljajo odprtokodna ali komercialno dostopna orodja za oddaljeni dostop brez kakršnih koli groženj RAT po meri. Doslej se je LazyScript zanašal na naslednje grožnje z zlonamerno programsko opremo:

• Octopus - odprtokodni Windows RAT, ki lahko zbira in ekstrahira podatke, vzpostavi izvidniške rutine in izvaja profiliranje sistema.
• Koadic - odprtokodno orodje, ki se uporablja za testiranje penetracije, dostavo tovora in generiranje vsadkov.
• LuminosityLink - RAT, ki se uporablja za daljinski nadzor okuženih sistemov in vohunske dejavnosti
• Remcos - RAT, ki napadalcem omogoča, da vzpostavijo popoln nadzor nad ogroženo napravo
• KOCTUPUS - grozeči nalagalnik, ki ima nalogo, da sproži PowerShell Empire na okuženih napravah.

Napadi LazyScript se začnejo z razširjanjem neželene e-pošte, ki vsebuje lažno predstavljanje, posameznikom, ki jih zanima. E-poštna sporočila z lažnim predstavljanjem lahko uporabljajo več različnih scenarijev, namenjenih pritegnitvi pozornosti žrtve. Najpogosteje uporabljene teme so tesno povezane s tarčami hekerjev – IATA, letalskimi družbami in potovanji v Kanado kot del programov, povezanih z zaposlitvijo. Hekerji so uporabili tudi vabe, povezane s storitvijo za finančno poravnavo, imenovano BSPLink, COVID-19, Microsoftove posodobitve, turizem ali programi, povezani s kanadskimi delavci. Potrjeno je bilo, da so v enem primeru hekerji v svoji shemi lažnega predstavljanja celo uporabili zakonito kanadsko spletno mesto za priseljevanje.