LazyScripter APT

Infosec araştırmacıları, LazyScript adını verdikleri yeni bir APT (Gelişmiş Kalıcı Tehdit) grubunun etkinliğini izole etmeyi başardıklarına inanıyorlar. LazyScript'in, başta Orta Doğu'dan gelenler olmak üzere, halihazırda kurulmuş çok sayıda APT grubuyla oldukça fazla benzerlik paylaştığına dikkat edilmelidir. Örneğin, LazyScript ve her iki MuddyWater yük depoları olarak Empire ve Koadic zararlı araçları, PowerShell ve GitHub kullanılarak gözlenmiştir. APT28 (diğer adıyla FancyBear) olarak bilinen Rus merkezli grup, geçmişte Koadic kötü amaçlı yazılımını da kullanmıştı. Ayrıca, LazyScript tarafından PowerShell komut dosyalarını yürütülebilir dosyalara dönüştürmek için kullanılan metodoloji, OilRig APT ile aynıdır.

LazyScript hakkında, onları ayrı bir varlık olarak kurmayı haklı çıkarmaya yetecek kadar benzersiz yön vardır. Grubun son derece dar bir hedefleri var gibi görünüyor - Uluslararası Hava Taşımacılığı Birliği (IATA), diğer birçok havayolu operatörü ve hükümetin işle ilgili programlarının bir parçası olarak Kanada'ya taşınmayı planlayan seçilmiş kişiler. Bilgisayar korsanlarının amacı, kurbanlarından hem mevcut faaliyetlerin hem de gelecekteki operasyonların bir parçası olarak silahlandırılabilecek hassas bilgiler elde etmektir. LazyScript'i diğerlerinden ayıran bir diğer özellik, diğer ATP gruplarıyla karşılaştırıldığında, kötü amaçlı yazılım araç setindeki nispeten daha düşük karmaşıklıktır. Gerçekten de, LazyScript'in tehditkar cephaneliği, herhangi bir özel yapım RAT tehdidi olmaksızın, çoğunlukla açık kaynak kodlu veya ticari olarak temin edilebilen uzaktan erişim araçlarından oluşuyor gibi görünüyor. Şimdiye kadar LazyScript aşağıdaki kötü amaçlı yazılım tehditlerine güveniyor:

• Octopus - verileri toplayıp sızdırabilen, keşif rutinleri oluşturabilen ve sistem profili çıkarabilen açık kaynaklı Windows RAT.
• Koadic - penetrasyon testi, faydalı yüklerin sağlanması ve implantların oluşturulması için kullanılan açık kaynaklı araç.
• LuminosityLink - Virüslü sistemler ve casusluk faaliyetleri üzerinde uzaktan kontrol için kullanılan RAT
• Remcos - Saldırganların güvenliği ihlal edilmiş cihaz üzerinde tam kontrol kurmasını sağlayan RAT
• KOCTUPUS - virüslü cihazlarda PowerShell Empire'ı başlatmakla görevli tehdit edici yükleyici.

LazyScript'in saldırıları, kimlik avı tuzakları içeren istenmeyen e-postaların ilgili kişilere yayılmasıyla başlar. Kimlik avı e-postaları, kurbanın dikkatini çekmek için tasarlanmış birkaç farklı senaryo kullanabilir. En çok kullanılan temalar, bilgisayar korsanlarının hedefleriyle yakından bağlantılıdır - IATA, havayolları ve işle ilgili programların bir parçası olarak Kanada'ya seyahatler. Bilgisayar korsanları ayrıca BSPLink, COVID-19, Microsoft güncellemeleri, turizm veya Kanadalı işçilerle ilgili programlar adlı bir finansal uzlaşma hizmetiyle bağlantılı yemler de kullandılar. Bir durumda bilgisayar korsanlarının kimlik avı planlarında yasal bir Kanada göçmenlik web sitesini bile kullandıkları doğrulandı.