LazyScripter APT

Infosec 研究人員認為，他們已成功隔離了一個名為 LazyScript 的新 APT（高級持續威脅）組的活動。必須指出的是，LazyScript 與多個已經建立的 APT 團體有很多相似之處，主要是來自中東的團體。例如，據觀察，LazyScript 和MuddyWater都使用 Empire 和 Koadic 惡意軟件工具、PowerShell 和 GitHub 作為有效負載存儲庫。俄羅斯組織APT28 （又名 FancyBear）過去也使用過 Koadic 惡意軟件。此外，LazyScript 用於將 PowerShell 腳本轉換為可執行文件的方法與OilRig APT 相同。

LazyScript 有足夠多的獨特方面來證明將它們建立為一個單獨的實體是合理的。該組織的目標範圍似乎非常狹窄——國際航空運輸協會 (IATA)、多家其他航空公司運營商，以及可能計劃作為政府工作相關計劃一部分移居加拿大的特定個人。黑客的目的是從受害者那裡獲取敏感信息，然後將其作為當前活動和未來行動的一部分進行武器化。與其他 ATP 組相比，使 LazyScript 與眾不同的另一個特徵是惡意軟件工具集的複雜性相對較低。事實上，LazyScript 的威脅武器庫似乎主要由開源或商用遠程訪問工具組成，沒有任何定制的 RAT 威脅。到目前為止，LazyScript 一直依賴於以下惡意軟件威脅：

• Octopus - 開源 Windows RAT，可以收集和竊取數據，建立偵察例程並進行系統分析。
• Koadic - 用於滲透測試、提供有效載荷和生成植入物的開源工具。
• LuminosityLink - 用於遠程控制受感染系統和間諜活動的 RAT
• Remcos - 允許攻擊者建立對受感染設備的完全控制的 RAT
• KOCTUPUS - 威脅加載程序，其任務是在受感染的設備上啟動 PowerShell Empire。

LazyScript 的攻擊始於向感興趣的個人傳播包含網絡釣魚誘餌的垃圾郵件。網絡釣魚電子郵件可能會採用多種不同的場景來吸引受害者的注意力。最常用的主題與黑客的目標密切相關——國際航空運輸協會、航空公司以及作為工作相關計劃一部分的加拿大旅行。黑客還使用了與名為 BSPLink、COVID-19、Microsoft 更新、旅遊或與加拿大工人相關的程序的金融結算服務相關的誘餌。已經證實，在一個例子中，黑客甚至在他們的網絡釣魚計劃中使用了一個合法的加拿大移民網站。