LazyScripter APT

Naniniwala ang mga mananaliksik ng Infosec na nagawa nilang ihiwalay ang aktibidad ng isang bagong pangkat ng APT (Advanced Persistent Threat) na pinangalanan nilang LazyScript. Dapat tandaan na ang LazyScript ay nagbabahagi ng napakaraming pagkakatulad sa marami nang naitatag na mga pangkat ng APT, pangunahin ang mga mula sa Gitnang Silangan. Halimbawa, parehong naobserbahan ang LazyScript at MuddyWater bilang gumagamit ng Empire at Koadic malware tool, PowerShell at GitHub bilang mga repositori ng payload. Ang pangkat na nakabase sa Russia na kilala bilang APT28 (aka FancyBear) ay gumamit din ng Koadic malware sa nakaraan. Bukod pa rito, ang pamamaraang ginagamit ng LazyScript upang i-convert ang mga script ng PowerShell sa mga executable na file ay kapareho ng sa OilRig APT .

May sapat na mga natatanging aspeto tungkol sa LazyScript upang bigyang-katwiran ang pagtatatag ng mga ito bilang isang hiwalay na entity. Ang grupo ay lumilitaw na may napakakitid na hanay ng mga target - ang International Air Transport Association (IATA), marami pang ibang airline operator, at mga piling indibidwal na maaaring nagpaplanong lumipat sa Canada bilang bahagi ng mga programang nauugnay sa trabaho ng gobyerno. Ang layunin ng mga hacker ay makakuha ng sensitibong impormasyon mula sa kanilang mga biktima na maaaring maging sandata bilang bahagi ng kasalukuyang mga aktibidad at mga operasyon sa hinaharap. Ang isa pang katangian na nagpapahiwalay sa LazyScript ay ang medyo mas mababang pagiging sopistikado sa toolset ng malware kung ihahambing sa ibang mga pangkat ng ATP. Sa katunayan, ang nagbabantang arsenal ng LazyScript ay tila halos binubuo ng open source o available na komersyal na remote access tool nang walang anumang custom-made na banta sa RAT. Sa ngayon ay umaasa ang LazyScript sa mga sumusunod na banta ng malware:

• Octopus - open-source na Windows RAT na maaaring mag-harvest at mag-exfiltrate ng data, magtatag ng mga gawain sa reconnaissance at magsagawa ng system profiling.
• Koadic - open-source tool na ginagamit para sa penetration testing, paghahatid ng mga payload at pagbuo ng mga implant.
• LuminosityLink - RAT na ginagamit para sa malayuang kontrol sa mga nahawaang system at aktibidad ng espiya
• Remcos - RAT na nagpapahintulot sa mga umaatake na magtatag ng ganap na kontrol sa nakompromisong device
• KOCTUPUS - nagbabantang loader na may tungkuling simulan ang PowerShell Empire sa mga nahawaang device.

Nagsisimula ang mga pag-atake ng LazyScript sa pagpapakalat ng mga spam na email na naglalaman ng mga pang-akit ng phishing sa mga indibidwal na interesado. Ang mga email sa phishing ay maaaring gumamit ng maraming iba't ibang mga sitwasyon na idinisenyo upang maakit ang atensyon ng biktima. Ang pinakaginagamit na mga tema ay malapit na konektado sa mga target ng mga hacker - ang IATA, mga airline, at mga paglalakbay sa Canada bilang bahagi ng mga programang nauugnay sa trabaho. Gumamit din ang mga hacker ng mga pain na naka-link sa isang serbisyo sa pag-aayos sa pananalapi na pinangalanang BSPLink, COVID-19, mga update sa Microsoft, turismo, o mga programang nauugnay sa manggagawa sa Canada. Nakumpirma na sa isang pagkakataon ang mga hacker ay gumamit pa ng isang lehitimong Canadian immigration website sa kanilang phishing scheme.