LazyScripter APT

Дослідники Infosec вважають, що їм вдалося ізолювати діяльність нової групи APT (Advanced Persistent Threat), яку вони назвали LazyScript. Слід зазначити, що LazyScript має досить багато подібності з кількома вже створеними групами APT, в основному з Близького Сходу. Наприклад, було помічено, що як LazyScript, так і MuddyWater використовують інструменти зловмисного програмного забезпечення Empire і Koadic, PowerShell і GitHub як сховищ корисного навантаження. Російська група, відома як APT28 (він же FancyBear), також використовувала шкідливе програмне забезпечення Koadic в минулому. Крім того, методологія, яку використовує LazyScript для перетворення сценаріїв PowerShell у виконувані файли, така ж, як і в OilRig APT .

Існує достатньо унікальних аспектів LazyScript, щоб виправдати створення їх як окремої сутності. Схоже, що група має надзвичайно вузький набір цілей - Міжнародну асоціацію повітряного транспорту (IATA), декілька інших операторів авіакомпаній та окремих осіб, які, можливо, планують переїхати до Канади в рамках державних програм, пов'язаних з роботою. Мета хакерів — отримати конфіденційну інформацію від своїх жертв, яку потім можна використати як частину поточної діяльності, так і майбутні операції. Ще одна особливість, яка виділяє LazyScript, — це відносно нижча складність набору інструментів шкідливого програмного забезпечення в порівнянні з іншими групами ATP. Справді, загрозливий арсенал LazyScript, здається, складається здебільшого з відкритих або комерційно доступних інструментів віддаленого доступу без будь-яких спеціально створених RAT-загроз. Поки що LazyScript покладався на такі загрози зловмисного програмного забезпечення:

• Octopus - Windows RAT з відкритим вихідним кодом, який може збирати та ексфільтрувати дані, встановлювати процедури розвідки та проводити профільування системи.
• Koadic - інструмент з відкритим кодом, який використовується для тестування на проникнення, доставки корисного навантаження та створення імплантатів.
• LuminosityLink - RAT, що використовується для дистанційного контролю заражених систем і шпигунської діяльності
• Remcos - RAT, що дозволяє зловмисникам встановити повний контроль над скомпрометованим пристроєм
• KOCTUPUS - загрозливий завантажувач, якому поставлено завдання ініціювати PowerShell Empire на заражених пристроях.

Атаки LazyScript починаються з поширення спам-листів, що містять фішингові приманки, серед зацікавлених осіб. У фішингових електронних листах може використовуватися кілька різних сценаріїв, призначених для привернення уваги жертви. Найбільш використовувані теми тісно пов’язані з цілями хакерів – IATA, авіакомпаніями та поїздками до Канади в рамках програм, пов’язаних з роботою. Хакери також використовували приманки, пов’язані зі службою фінансових розрахунків під назвою BSPLink, COVID-19, оновленнями Microsoft, туризмом або програмами, пов’язаними з канадськими працівниками. Було підтверджено, що в одному випадку хакери навіть використовували законний канадський імміграційний веб-сайт у своїй фішинговій схемі.