LazyScripter APT

Infosec ஆராய்ச்சியாளர்கள் புதிய APT (மேம்பட்ட பெர்சிஸ்டண்ட் த்ரெட்) குழுவின் செயல்பாட்டை தனிமைப்படுத்த முடிந்தது என்று நம்புகிறார்கள், அதற்கு அவர்கள் LazyScript என்று பெயரிட்டுள்ளனர். ஏற்கனவே நிறுவப்பட்ட பல APT குழுக்களுடன், முக்கியமாக மத்திய கிழக்கிலிருந்து வந்தவர்களுடன் LazyScript நிறைய ஒற்றுமைகளைப் பகிர்ந்து கொள்கிறது என்பதைக் கவனத்தில் கொள்ள வேண்டும். எடுத்துக்காட்டாக, LazyScript மற்றும் MuddyWater ஆகிய இரண்டும் எம்பயர் மற்றும் கோடிக் மால்வேர் கருவிகள், பவர்ஷெல் மற்றும் கிட்ஹப் ஆகியவை பேலோட் களஞ்சியங்களாகப் பயன்படுத்தப்படுகின்றன. APT28 (FancyBear) என அழைக்கப்படும் ரஷ்ய அடிப்படையிலான குழுவும் கடந்த காலத்தில் Koadic தீம்பொருளைப் பயன்படுத்தியுள்ளது. தவிர, பவர்ஷெல் ஸ்கிரிப்ட்களை இயங்கக்கூடிய கோப்புகளாக மாற்ற LazyScript பயன்படுத்தும் முறை OilRig APT போன்றது .

LazyScript ஐ ஒரு தனி நிறுவனமாக நிறுவுவதை நியாயப்படுத்த போதுமான தனித்துவமான அம்சங்கள் உள்ளன. குழுவானது மிகக் குறுகிய இலக்குகளைக் கொண்டிருப்பதாகத் தோன்றுகிறது - சர்வதேச விமானப் போக்குவரத்துச் சங்கம் (IATA), பல பிற விமான ஆபரேட்டர்கள் மற்றும் அரசாங்க வேலை தொடர்பான திட்டங்களின் ஒரு பகுதியாக கனடாவுக்குச் செல்லத் திட்டமிடும் தேர்ந்தெடுக்கப்பட்ட நபர்கள். ஹேக்கர்களின் நோக்கம், பாதிக்கப்பட்டவர்களிடமிருந்து முக்கியமான தகவல்களைப் பெறுவதாகும், அது தற்போதைய செயல்பாடுகள் மற்றும் எதிர்கால நடவடிக்கைகளின் ஒரு பகுதியாக ஆயுதமாக்கப்படலாம். மற்ற ஏடிபி குழுக்களுடன் ஒப்பிடும்போது, மால்வேர் கருவித்தொகுப்பில் ஒப்பீட்டளவில் குறைந்த நுட்பம் இருப்பது லேசிஸ்கிரிப்டை வேறுபடுத்துகிறது. உண்மையில், LazyScript இன் அச்சுறுத்தும் ஆயுதக் களஞ்சியமானது பெரும்பாலும் திறந்த மூல அல்லது வணிக ரீதியாக கிடைக்கக்கூடிய தொலைநிலை அணுகல் கருவிகள் எதுவும் தனிப்பயனாக்கப்பட்ட RAT அச்சுறுத்தல்கள் இல்லாமல் உள்ளது. இதுவரை LazyScript பின்வரும் தீம்பொருள் அச்சுறுத்தல்களை நம்பியிருக்கிறது:

• ஆக்டோபஸ் - ஓப்பன் சோர்ஸ் விண்டோஸ் RAT, இது தரவை அறுவடை செய்து வெளியேற்றுகிறது, உளவு நடைமுறைகளை நிறுவுகிறது மற்றும் கணினி விவரக்குறிப்பை நடத்துகிறது.
• கோடிக் - ஊடுருவல் சோதனை, பேலோடுகளை வழங்குதல் மற்றும் உள்வைப்புகளை உருவாக்குதல் ஆகியவற்றிற்கு பயன்படுத்தப்படும் திறந்த மூலக் கருவி.
• LuminosityLink - RAT பாதிக்கப்பட்ட அமைப்புகள் மற்றும் உளவு நடவடிக்கைகளுக்கு ரிமோட் கண்ட்ரோலுக்குப் பயன்படுத்தப்படுகிறது.
• Remcos - சமரசம் செய்யப்பட்ட சாதனத்தின் மீது முழுக் கட்டுப்பாட்டை ஏற்படுத்த தாக்குபவர்களை அனுமதிக்கும் RAT
• KOCTUPUS - பாதிக்கப்பட்ட சாதனங்களில் PowerShell பேரரசைத் தொடங்கும் பணியை அச்சுறுத்தும் ஏற்றி.

LazyScript இன் தாக்குதல்கள் ஆர்வமுள்ள நபர்களுக்கு ஃபிஷிங் கவர்ச்சிகளைக் கொண்ட ஸ்பேம் மின்னஞ்சல்களைப் பரப்புவதன் மூலம் தொடங்குகின்றன. ஃபிஷிங் மின்னஞ்சல்கள் பாதிக்கப்பட்டவரின் கவனத்தை ஈர்க்க வடிவமைக்கப்பட்ட பல்வேறு காட்சிகளைப் பயன்படுத்தலாம். அதிகம் பயன்படுத்தப்படும் கருப்பொருள்கள் ஹேக்கர்களின் இலக்குகளுடன் நெருக்கமாக இணைக்கப்பட்டுள்ளன - IATA, விமான நிறுவனங்கள் மற்றும் வேலை தொடர்பான திட்டங்களின் ஒரு பகுதியாக கனடாவிற்கு பயணம். BSPLink, COVID-19, மைக்ரோசாப்ட் புதுப்பிப்புகள், சுற்றுலா அல்லது கனேடிய தொழிலாளர் தொடர்பான திட்டங்கள் என பெயரிடப்பட்ட நிதி தீர்வு சேவையுடன் இணைக்கப்பட்ட தூண்டில்களையும் ஹேக்கர்கள் பயன்படுத்தியுள்ளனர். ஒரு சந்தர்ப்பத்தில் ஹேக்கர்கள் தங்களின் ஃபிஷிங் திட்டத்தில் முறையான கனேடிய குடிவரவு இணையதளத்தைப் பயன்படுத்தியிருப்பது உறுதி செய்யப்பட்டுள்ளது.