LazyScripter APT

LazyScripter APT

Studiuesit e Infosec besojnë se kanë arritur të izolojnë aktivitetin e një grupi të ri APT (Advanced Persistent Threat) që ata e kanë quajtur LazyScript. Duhet të theksohet se LazyScript ndan mjaft ngjashmëri me grupe të shumta APT tashmë të krijuara, kryesisht ato nga Lindja e Mesme. Për shembull, si LazyScript ashtu edhe MuddyWater janë vërejtur se përdorin veglat e malware të Empire dhe Koadic, PowerShell dhe GitHub si depo të ngarkesës. Grupi me bazë në Rusi i njohur si APT28 (aka FancyBear) gjithashtu ka përdorur malware Koadic në të kaluarën. Përveç kësaj, metodologjia e përdorur nga LazyScript për të kthyer skriptet PowerShell në skedarë të ekzekutueshëm është e njëjtë me atë të OilRig APT .

Ka mjaft aspekte unike rreth LazyScript për të justifikuar krijimin e tyre si një entitet më vete. Grupi duket se ka një grup objektivash jashtëzakonisht të ngushtë - Shoqatën Ndërkombëtare të Transportit Ajror (IATA), operatorë të tjerë të linjave ajrore dhe individë të përzgjedhur që mund të planifikojnë të lëvizin në Kanada si pjesë e programeve qeveritare të lidhura me punën. Qëllimi i hakerëve është të marrin informacione të ndjeshme nga viktimat e tyre, të cilat më pas mund të armatosen si pjesë e aktiviteteve aktuale dhe operacioneve të ardhshme. Një karakteristikë tjetër që e veçon LazyScript është sofistikimi relativisht më i ulët në grupin e mjeteve të malware kur krahasohet me grupet e tjera ATP. Në të vërtetë, arsenali kërcënues i LazyScript duket se përbëhet kryesisht nga mjete me burim të hapur ose mjete komerciale të aksesit në distancë, pa ndonjë kërcënim RAT të bërë me porosi. Deri më tani LazyScript është mbështetur në kërcënimet e mëposhtme të malware:

  • Octapus - Windows RAT me burim të hapur që mund të mbledhë dhe të nxjerrë të dhëna, të krijojë rutina zbulimi dhe të kryejë profilizimin e sistemit.
  • Koadic - mjet me burim të hapur që përdoret për testimin e penetrimit, dërgimin e ngarkesave dhe gjenerimin e implanteve.
  • LuminosityLink - RAT përdoret për kontrollin në distancë mbi sistemet e infektuara dhe aktivitetet e spiunazhit
  • Remcos - RAT që lejon sulmuesit të vendosin kontroll të plotë mbi pajisjen e komprometuar
  • KOCTUPUS - ngarkues kërcënues i ngarkuar me inicimin e PowerShell Empire në pajisjet e infektuara.

Sulmet e LazyScript fillojnë me shpërndarjen e emaileve të padëshiruara që përmbajnë joshje phishing për individët me interes. Emailet e phishing mund të përdorin disa skenarë të ndryshëm të krijuar për të tërhequr vëmendjen e viktimës. Temat më të përdorura janë të lidhura ngushtë me objektivat e hakerëve - IATA, linjat ajrore dhe udhëtimet në Kanada si pjesë e programeve të lidhura me punën. Hakerët kanë përdorur gjithashtu karrem të lidhur me një shërbim shlyerjeje financiare të quajtur BSPLink, COVID-19, përditësime të Microsoft-it, turizmin ose programe kanadeze të lidhura me punëtorët. Është konfirmuar se në një rast hakerët kanë përdorur edhe një uebsajt legjitim kanadez të imigracionit në skemën e tyre të phishing.

Në trend

Po ngarkohet...