Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) LazyScripter APT

LazyScripter APT

Đến năm GoldSparrow năm Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

Các nhà nghiên cứu của Infosec tin rằng họ đã quản lý để cô lập hoạt động của một nhóm APT (Mối đe dọa liên tục nâng cao) mới mà họ đặt tên là LazyScript. Cần phải lưu ý rằng LazyScript chia sẻ khá nhiều điểm tương đồng với nhiều nhóm APT đã được thành lập, chủ yếu là những nhóm đến từ Trung Đông. Ví dụ: cả LazyScript và MuddyWater đều đã được quan sát là sử dụng các công cụ phần mềm độc hại Empire và Koadic, PowerShell và GitHub làm kho lưu trữ tải trọng. Nhóm có trụ sở tại Nga có tên APT28 (hay còn gọi là FancyBear) cũng đã sử dụng phần mềm độc hại Koadic trong quá khứ. Bên cạnh đó, phương pháp mà LazyScript sử dụng để chuyển đổi các tập lệnh PowerShell thành các tệp thực thi cũng giống như phương pháp của OilRig APT .

Có đủ các khía cạnh độc đáo về LazyScript để biện minh cho việc thiết lập chúng như một thực thể riêng biệt. Nhóm dường như có một loạt mục tiêu cực kỳ hạn hẹp - Hiệp hội Vận tải Hàng không Quốc tế (IATA), nhiều nhà khai thác hàng không khác và một số cá nhân được chọn có thể đang lên kế hoạch chuyển đến Canada như một phần của các chương trình liên quan đến việc làm của chính phủ. Mục đích của các tin tặc là lấy thông tin nhạy cảm từ nạn nhân của chúng để sau đó có thể được vũ khí hóa cả như một phần của các hoạt động hiện tại và các hoạt động trong tương lai. Một đặc điểm khác làm cho LazyScript trở nên khác biệt là độ tinh vi tương đối thấp hơn trong bộ công cụ phần mềm độc hại khi so sánh với các nhóm ATP khác. Thật vậy, kho vũ khí đe dọa của LazyScript dường như bao gồm phần lớn là các công cụ truy cập từ xa nguồn mở hoặc có sẵn trên thị trường mà không có bất kỳ mối đe dọa RAT tùy chỉnh nào. Cho đến nay, LazyScript đã dựa vào các mối đe dọa phần mềm độc hại sau:

  • Octopus - Windows RAT mã nguồn mở có thể thu thập và lọc dữ liệu, thiết lập các quy trình do thám và tiến hành lập hồ sơ hệ thống.
  • Koadic - công cụ mã nguồn mở được sử dụng để kiểm tra thâm nhập, cung cấp tải trọng và tạo thiết bị cấy ghép.
  • LuminosityLink - RAT được sử dụng để điều khiển từ xa các hệ thống bị nhiễm và các hoạt động gián điệp
  • Remcos - RAT cho phép những kẻ tấn công thiết lập toàn quyền kiểm soát thiết bị bị xâm phạm
  • KOCTUPUS - trình tải đe dọa có nhiệm vụ khởi tạo Đế chế PowerShell trên các thiết bị bị nhiễm.

Các cuộc tấn công của LazyScript bắt đầu bằng việc phổ biến các email rác chứa các chiêu trò lừa đảo cho những cá nhân quan tâm. Các email lừa đảo có thể sử dụng một số tình huống khác nhau được thiết kế để thu hút sự chú ý của nạn nhân. Các chủ đề được sử dụng nhiều nhất có liên quan chặt chẽ đến các mục tiêu của tin tặc - IATA, các hãng hàng không và du lịch đến Canada như một phần của các chương trình liên quan đến việc làm. Các tin tặc cũng đã sử dụng bả được liên kết với một dịch vụ giải quyết tài chính có tên là BSPLink, COVID-19, các bản cập nhật của Microsoft, du lịch hoặc các chương trình liên quan đến công nhân Canada. Người ta đã xác nhận rằng trong một trường hợp, các tin tặc thậm chí đã sử dụng một trang web nhập cư hợp pháp của Canada trong kế hoạch lừa đảo của họ.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...