LazyScripter APT

Los investigadores de Infosec creen que han logrado aislar la actividad de un nuevo grupo APT (Advanced Persistent Threat) al que han denominado LazyScript. Cabe señalar que LazyScript comparte muchas similitudes con múltiples grupos APT ya establecidos, principalmente los de Oriente Medio. Por ejemplo, se ha observado que tanto LazyScript como MuddyWater utilizan las herramientas de malware Empire y Koadic, PowerShell y GitHub como repositorios de carga útil. El grupo con sede en Rusia conocido como APT28 (también conocido como FancyBear) también ha utilizado el malware Koadic en el pasado. Además, la metodología utilizada por LazyScript para convertir scripts de PowerShell en archivos ejecutables es la misma que la del OilRig APT.

Hay suficientes aspectos únicos sobre LazyScript para justificar su establecimiento como una entidad separada. El grupo parece tener un conjunto de objetivos extremadamente limitado: la Asociación de Transporte Aéreo Internacional (IATA), muchas otras aerolíneas y personas seleccionadas que pueden estar planeando mudarse a Canadá como parte de programas gubernamentales relacionados con el trabajo. El objetivo de los piratas informáticos es obtener información confidencial de sus víctimas que luego se puede convertir en armas como parte de las actividades actuales y operaciones futuras. Otra característica que distingue a LazyScript es la sofisticación relativamente menor en el conjunto de herramientas de malware en comparación con otros grupos de ATP. De hecho, el arsenal amenazante de LazyScript parece estar compuesto principalmente de herramientas de acceso remoto de código abierto o disponibles comercialmente sin amenazas RAT personalizadas. Hasta ahora, LazyScript se ha basado en las siguientes amenazas de malware:

• Octopus : Windows RAT de código abierto que puede recopilar y exfiltrar datos, establecer rutinas de reconocimiento y realizar perfiles del sistema.
• Koadic: herramienta de código abierto utilizada para pruebas de penetración, entrega de cargas útiles y generación de implantes.
• LuminosityLink : RAT utilizado para el control remoto de los sistemas infectados y las actividades de espionaje
• Remcos : RAT que permite a los atacantes establecer un control total sobre el dispositivo comprometido
• KOCTUPUS: cargador amenazador encargado de iniciar PowerShell Empire en los dispositivos infectados.

Los ataques de LazyScript comienzan con la difusión de correos electrónicos no deseados que contienen señuelos de phishing a personas de interés. Los correos electrónicos de phishing pueden emplear varios escenarios diferentes diseñados para atraer la atención de la víctima. Los temas más utilizados están estrechamente relacionados con los objetivos de los piratas informáticos: la IATA, las aerolíneas y los viajes a Canadá como parte de programas relacionados con el trabajo. Los piratas informáticos también han utilizado cebos vinculados a un servicio de liquidación financiera llamado BSPLink, COVID-19, actualizaciones de Microsoft, turismo o programas relacionados con los trabajadores canadienses. Se ha confirmado que, en un caso, los piratas informáticos incluso emplearon un sitio web legítimo de inmigración canadiense en su esquema de phishing.