ЛазиСцриптер АПТ

ЛазиСцриптер АПТ

Истраживачи Инфосец-а верују да су успели да изолују активност нове АПТ (Адванцед Персистент Тхреат) групе коју су назвали ЛазиСцрипт. Мора се напоменути да ЛазиСцрипт има доста сличности са више већ успостављених АПТ група, углавном оних са Блиског истока. На пример, примећено је да и ЛазиСцрипт и МуддиВатер користе алате за малвер Емпире и Коадиц, ПоверСхелл и ГитХуб као спремишта корисног оптерећења. Група са седиштем у Русији позната као АПТ28 (ака ФанциБеар) такође је користила Коадиц малвер у прошлости. Осим тога, методологија коју користи ЛазиСцрипт за претварање ПоверСхелл скрипти у извршне датотеке је иста као код ОилРиг АПТ-а .

Постоји довољно јединствених аспеката у вези са ЛазиСцрипт-ом да би се оправдало њихово успостављање као посебан ентитет. Чини се да група има изузетно узак скуп циљева - Међународну асоцијацију за ваздушни транспорт (ИАТА), више других авио-оператера и одабране појединце који можда планирају да се преселе у Канаду као део владиних програма везаних за посао. Циљ хакера је да добију осетљиве информације од својих жртава које се онда могу употребити као оружје и као део тренутних активности и будућих операција. Још једна карактеристика која издваја ЛазиСцрипт је релативно нижа софистицираност у скупу алата за малвер у поређењу са другим АТП групама. Заиста, чини се да се претећи арсенал ЛазиСцрипт-а састоји углавном од алата отвореног кода или комерцијално доступних алата за даљински приступ без икаквих прилагођених РАТ претњи. До сада се ЛазиСцрипт ослањао на следеће претње од малвера:

  • Оцтопус - Виндовс РАТ отвореног кода који може сакупљати и ексфилтрирати податке, успоставити рутине извиђања и спроводити профилисање система.
  • Коадиц - алатка отвореног кода која се користи за тестирање пенетрације, испоруку терета и генерисање имплантата.
  • ЛуминоситиЛинк - РАТ који се користи за даљинску контролу над зараженим системима и шпијунске активности
  • Ремцос - РАТ који омогућава нападачима да успоставе потпуну контролу над компромитованим уређајем
  • КОЦТУПУС - претећи лоадер са задатком да покрене ПоверСхелл Емпире на зараженим уређајима.

Напади ЛазиСцрипт-а почињу са ширењем нежељене е-поште која садржи мамце за крађу идентитета појединцима од интереса. Е-поруке за крађу идентитета могу користити неколико различитих сценарија дизајнираних да привуку пажњу жртве. Најчешће коришћене теме су уско повезане са метама хакера - ИАТА-ом, авио-компанијама и путовањима у Канаду као део програма везаних за посао. Хакери су такође користили мамце повезане са услугом финансијског поравнања под називом БСПЛинк, ЦОВИД-19, Мицрософт ажурирања, туризам или канадски програми везани за раднике. Потврђено је да су у једном случају хакери чак користили легитимну канадску веб страницу за имиграцију у својој шеми за крађу идентитета.

Loading...