LazyScripter APT

Infosec-Forscher glauben, dass es ihnen gelungen ist, die Aktivität einer neuen APT-Gruppe (Advanced Persistent Threat) zu isolieren, die sie LazyScript genannt haben. Es muss angemerkt werden, dass LazyScript viele Ähnlichkeiten mit mehreren bereits etablierten APT-Gruppen aufweist, hauptsächlich aus dem Nahen Osten. Zum Beispiel wurden sowohl LazyScript und MuddyWater beobachtet, Reich und Koadic Malware - Tools, Powershell und GitHub als Payload - Repositories zu benutzen. Die in Russland ansässige Gruppe APT28 (auch bekannt als FancyBear) hat in der Vergangenheit auch die Koadic-Malware verwendet. Außerdem entspricht die von LazyScript zum Konvertieren von PowerShell-Skripten in ausführbare Dateien verwendete Methode der des OilRig APT.

Es gibt genug einzigartige Aspekte von LazyScript, um die Einrichtung als separate Einheit zu rechtfertigen. Die Gruppe scheint extrem enge Ziele zu haben - die International Air Transport Association (IATA), mehrere andere Luftfahrtunternehmen und ausgewählte Personen, die möglicherweise planen, im Rahmen staatlicher berufsbezogener Programme nach Kanada zu ziehen. Das Ziel der Hacker ist es, sensible Informationen von ihren Opfern zu erhalten, die dann sowohl im Rahmen aktueller Aktivitäten als auch zukünftiger Operationen bewaffnet werden können. Ein weiteres Merkmal, das LazyScript auszeichnet, ist die im Vergleich zu anderen ATP-Gruppen relativ geringere Komplexität des Malware-Toolset. In der Tat scheint das bedrohliche Arsenal von LazyScript hauptsächlich aus Open Source- oder kommerziell erhältlichen Fernzugriffstools ohne maßgeschneiderte RAT-Bedrohungen zu bestehen. Bisher hat sich LazyScript auf die folgenden Malware-Bedrohungen verlassen:

• Octopus - Open-Source-Windows-RAT, mit der Daten gesammelt und exfiltriert, Aufklärungsroutinen eingerichtet und Systemprofile erstellt werden können.
• Koadic - Open-Source-Tool für Penetrationstests, die Bereitstellung von Nutzlasten und die Generierung von Implantaten.
• LuminosityLink - RAT zur Fernsteuerung der infizierten Systeme und Spionageaktivitäten
• Remcos - RAT, mit der die Angreifer die vollständige Kontrolle über das gefährdete Gerät erlangen können
• KOCTUPUS - Bedrohungslader, der PowerShell Empire auf den infizierten Geräten initiieren soll.

Die Angriffe von LazyScript beginnen mit der Verbreitung von Spam-E-Mails mit Phishing-Ködern an interessierende Personen. In den Phishing-E-Mails können verschiedene Szenarien verwendet werden, um die Aufmerksamkeit des Opfers auf sich zu ziehen. Die am häufigsten verwendeten Themen sind eng mit den Zielen der Hacker verbunden - der IATA, der Fluggesellschaften und Reisen nach Kanada im Rahmen berufsbezogener Programme. Die Hacker haben auch Köder verwendet, die mit einem Finanzabwicklungsdienst namens BSPLink, COVID-19, Microsoft-Updates, Tourismus oder kanadischen arbeitnehmerbezogenen Programmen verbunden sind. Es wurde bestätigt, dass die Hacker in einem Fall sogar eine legitime kanadische Einwanderungswebsite in ihrem Phishing-Programm verwendeten.