LazyScripter APT

Infosec-forskare tror att de har lyckats isolera aktiviteten hos en ny APT-grupp (Advanced Persistent Threat) som de har döpt till LazyScript. Det måste noteras att LazyScript delar ganska många likheter med flera redan etablerade APT-grupper, främst de från Mellanöstern. Till exempel har både LazyScript och MuddyWater observerats använda Empire och Koadic malware-verktyg, PowerShell och GitHub som nyttolast. Den ryskbaserade gruppen känd som APT28 (aka FancyBear) har också använt Koadic malware tidigare. Dessutom är metodiken som används av LazyScript för att konvertera PowerShell-skript till körbara filer densamma som för OilRig APT.

Det finns tillräckligt många unika aspekter med LazyScript för att motivera att etablera dem som en separat enhet. Gruppen verkar ha en extremt snäv uppsättning mål - International Air Transport Association (IATA), flera andra flygbolagsoperatörer och utvalda individer som kanske planerar att flytta till Kanada som en del av statliga jobbrelaterade program. Syftet med hackarna är att få känslig information från sina offer som sedan kan beväpnas både som en del av nuvarande verksamhet och framtida verksamhet. En annan egenskap som skiljer LazyScript åt är den relativt lägre sofistikeringen i verktygsuppsättningen för skadlig programvara jämfört med andra ATP-grupper. Faktum är att den hotande arsenalen av LazyScript tycks mestadels bestå av öppen källkod eller kommersiellt tillgängliga fjärråtkomstverktyg utan några skräddarsydda RAT-hot. Hittills har LazyScript förlitat sig på följande skadliga hot:

• Octopus - Windows RAT med öppen källkod som kan skörda och exfiltrera data, upprätta spaningsrutiner och utföra systemprofilering.
• Koadic - verktyg med öppen källkod som används för penetrationstestning, leverans av nyttolaster och generering av implantat.
• LuminosityLink - RAT används för fjärrkontroll över de infekterade systemen och spionageaktiviteter
• Remcos - RAT som låter angriparna etablera full kontroll över den komprometterade enheten
• KOCTUPUS - hotfull loader med uppgift att initiera PowerShell Empire på de infekterade enheterna.

LazyScripts attacker börjar med spridning av spam-e-postmeddelanden som innehåller nätfiske till personer av intresse. Nätfiske-e-postmeddelanden kan använda flera olika scenarier utformade för att locka offrets uppmärksamhet. De mest använda teman är nära kopplade till hackarnas mål - IATA, flygbolag och resor till Kanada som en del av jobbrelaterade program. Hackarna har också använt beten kopplat till en finansiell avvecklingstjänst som heter BSPLink, COVID-19, Microsoft-uppdateringar, turism eller kanadensiska arbetarrelaterade program. Det har bekräftats att hackarna i ett fall till och med använde en legitim kanadensisk immigrationswebbplats i sitt nätfiskesystem.