LazyScripter APT

นักวิจัยของ Infosec เชื่อว่าพวกเขาสามารถแยกกิจกรรมของกลุ่ม APT (Advanced Persistent Threat) ใหม่ที่พวกเขาตั้งชื่อว่า LazyScript ได้ ต้องสังเกตว่า LazyScript มีความคล้ายคลึงกันค่อนข้างมากกับกลุ่ม APT ที่จัดตั้งขึ้นแล้วหลายกลุ่ม ซึ่งส่วนใหญ่มาจากตะวันออกกลาง ตัวอย่างเช่น มีการสังเกตทั้ง LazyScript และ MuddyWater ว่าใช้เครื่องมือมัลแวร์ Empire และ Koadic, PowerShell และ GitHub เป็นที่เก็บข้อมูลเพย์โหลด กลุ่มบริษัทในรัสเซียที่รู้จักกันในชื่อ APT28 (aka FancyBear) ก็เคยใช้มัลแวร์ Koadic มาก่อนเช่นกัน นอกจากนี้ วิธีการที่ LazyScript ใช้เพื่อแปลงสคริปต์ PowerShell เป็นไฟล์สั่งการจะเหมือนกับของ OilRig APT

มีแง่มุมที่เป็นเอกลักษณ์เฉพาะเกี่ยวกับ LazyScript ที่จะพิสูจน์ให้เห็นว่าเป็นเอนทิตีที่แยกจากกัน ดูเหมือนว่ากลุ่มนี้มีกลุ่มเป้าหมายที่แคบมาก เช่น สมาคมขนส่งทางอากาศระหว่างประเทศ (IATA) ผู้ดำเนินการสายการบินอื่นๆ หลายราย และบุคคลที่ได้รับการคัดเลือกที่อาจวางแผนที่จะย้ายไปแคนาดาโดยเป็นส่วนหนึ่งของโครงการที่เกี่ยวข้องกับงานของรัฐบาล เป้าหมายของแฮ็กเกอร์คือการได้รับข้อมูลที่ละเอียดอ่อนจากเหยื่อ ซึ่งสามารถนำไปใช้เป็นอาวุธได้ ทั้งเป็นส่วนหนึ่งของกิจกรรมปัจจุบันและการดำเนินการในอนาคต คุณลักษณะอื่นที่ทำให้ LazyScript แตกต่างคือความซับซ้อนที่ค่อนข้างต่ำในชุดเครื่องมือมัลแวร์เมื่อเปรียบเทียบกับกลุ่ม ATP อื่นๆ อันที่จริง คลังแสงที่คุกคามของ LazyScript ดูเหมือนจะประกอบด้วยโอเพ่นซอร์สหรือเครื่องมือการเข้าถึงระยะไกลที่มีขายทั่วไปเป็นส่วนใหญ่ โดยไม่มีภัยคุกคาม RAT ที่สร้างขึ้นเอง จนถึงตอนนี้ LazyScript ได้อาศัยการคุกคามของมัลแวร์ดังต่อไปนี้:

  • Octopus - Windows RAT แบบโอเพนซอร์สที่สามารถเก็บเกี่ยวและกรองข้อมูล สร้างกิจวัตรการลาดตระเวน และดำเนินการโปรไฟล์ระบบ
  • Koadic - เครื่องมือโอเพนซอร์ซที่ใช้สำหรับการทดสอบการเจาะ ส่งมอบน้ำหนักบรรทุก และสร้างรากฟันเทียม
  • LuminosityLink - RAT ใช้สำหรับการควบคุมระยะไกลผ่านระบบที่ติดไวรัสและกิจกรรมจารกรรม
  • Remcos - RAT ที่ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้อย่างเต็มที่
  • KOCTUPUS - ตัวโหลดที่คุกคามได้รับมอบหมายให้เริ่มต้น PowerShell Empire บนอุปกรณ์ที่ติดไวรัส

การโจมตีของ LazyScript เริ่มต้นด้วยการเผยแพร่อีเมลขยะที่มีฟิชชิ่งล่อไปยังบุคคลที่สนใจ อีเมลฟิชชิงอาจใช้สถานการณ์ต่างๆ ที่ออกแบบมาเพื่อดึงดูดความสนใจของเหยื่อ ธีมที่ใช้มากที่สุดนั้นเชื่อมโยงอย่างใกล้ชิดกับเป้าหมายของแฮ็กเกอร์ - IATA สายการบิน และการเดินทางไปแคนาดา ซึ่งเป็นส่วนหนึ่งของโครงการที่เกี่ยวข้องกับงาน แฮกเกอร์ยังใช้เหยื่อล่อที่เชื่อมโยงกับบริการชำระเงินทางการเงินที่ชื่อว่า BSPLink, COVID-19, การอัปเดตของ Microsoft, การท่องเที่ยว หรือโปรแกรมที่เกี่ยวข้องกับคนงานในแคนาดา ได้รับการยืนยันแล้วว่าในกรณีหนึ่งแฮกเกอร์ใช้เว็บไซต์ตรวจคนเข้าเมืองของแคนาดาที่ถูกต้องตามกฎหมายในโครงการฟิชชิ่ง

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...