LazyScripter APT

Infosec 研究人员认为，他们已成功隔离了一个名为 LazyScript 的新 APT（高级持续威胁）组的活动。必须指出的是，LazyScript 与多个已经建立的 APT 团体有很多相似之处，主要是来自中东的团体。例如，据观察，LazyScript 和MuddyWater都使用 Empire 和 Koadic 恶意软件工具、PowerShell 和 GitHub 作为有效负载存储库。俄罗斯组织APT28 （又名 FancyBear）过去也使用过 Koadic 恶意软件。此外，LazyScript 用于将 PowerShell 脚本转换为可执行文件的方法与OilRig APT 相同。

LazyScript 有足够多的独特方面来证明将它们建立为一个单独的实体是合理的。该组织的目标范围似乎非常狭窄——国际航空运输协会 (IATA)、多家其他航空公司运营商，以及可能计划作为政府工作相关计划一部分移居加拿大的特定个人。黑客的目的是从受害者那里获取敏感信息，然后将其作为当前活动和未来行动的一部分进行武器化。与其他 ATP 组相比，使 LazyScript 与众不同的另一个特征是恶意软件工具集的复杂性相对较低。事实上，LazyScript 的威胁武器库似乎主要由开源或商用远程访问工具组成，没有任何定制的 RAT 威胁。到目前为止，LazyScript 一直依赖于以下恶意软件威胁：

• Octopus - 开源 Windows RAT，可以收集和窃取数据，建立侦察例程并进行系统分析。
• Koadic - 用于渗透测试、提供有效载荷和生成植入物的开源工具。
• LuminosityLink - 用于远程控制受感染系统和间谍活动的 RAT
• Remcos - 允许攻击者建立对受感染设备的完全控制的 RAT
• KOCTUPUS - 威胁加载程序，其任务是在受感染的设备上启动 PowerShell Empire。

LazyScript 的攻击始于向感兴趣的个人传播包含网络钓鱼诱饵的垃圾邮件。网络钓鱼电子邮件可能会采用多种不同的场景来吸引受害者的注意力。最常用的主题与黑客的目标密切相关——国际航空运输协会、航空公司以及作为工作相关计划一部分的加拿大旅行。黑客还使用了与名为 BSPLink、COVID-19、Microsoft 更新、旅游或与加拿大工人相关的程序的金融结算服务相关的诱饵。已经证实，在一个例子中，黑客甚至在他们的网络钓鱼计划中使用了一个合法的加拿大移民网站。