LazyScripter APT

Infosecの研究者は、LazyScriptという名前の新しいAPT（Advanced Persistent Threat）グループの活動をなんとか切り分けたと信じています。 LazyScriptは、すでに確立されている複数のAPTグループ、主に中東のグループと非常に多くの類似点を共有していることに注意する必要があります。たとえば、LazyScriptとMuddyWaterはどちらも、EmpireとKoadicのマルウェアツールであるPowerShellとGitHubをペイロードリポジトリとして使用していることが確認されています。 APT28 （別名FancyBear）として知られるロシアを拠点とするグループも、過去にKoadicマルウェアを使用しました。また、実行可能ファイルにPowerShellスクリプトを変換するLazyScriptによって使用される方法論は、のと同じであるOilRig APT 。

LazyScriptには、個別のエンティティとして確立することを正当化するのに十分な独自の側面があります。このグループの目標は非常に限られているようです。国際航空運送協会（IATA）、他の複数の航空会社、および政府の職務関連プログラムの一環としてカナダへの移住を計画している可能性のある特定の個人です。ハッカーの目的は、被害者から機密情報を入手し、それを現在の活動と将来の活動の両方の一部として武器化できるようにすることです。 LazyScriptを際立たせるもう1つの特徴は、他のATPグループと比較した場合のマルウェアツールセットの洗練度が比較的低いことです。実際、LazyScriptの脅威となる武器は、ほとんどがオープンソースまたは市販のリモートアクセスツールで構成されており、カスタムメイドのRATの脅威はありません。これまで、LazyScriptは次のマルウェアの脅威に依存してきました。

• Octopus-オープンソースのWindows RAT偵察ルーチンや行動システムプロファイリングを確立し、データを収集し、exfiltrateことができます。
• Koadic-侵入テスト、ペイロードの配信、インプラントの生成に使用されるオープンソースツール。
• LuminosityLink-感染したシステムとスパイ活動のリモートコントロールに使用されるRAT
• Remcos-攻撃者が侵入先のデバイスを完全に制御できるようにするRAT
• KOCTUPUS-感染したデバイスでPowerShellEmpireを開始することを任務とする脅迫ローダー。

LazyScriptの攻撃は、関心のある個人にフィッシングルアーを含むスパムメールを広めることから始まります。フィッシングメールは、被害者の注意を引くように設計されたいくつかの異なるシナリオを採用している可能性があります。最もよく使用されるテーマは、ハッカーの標的であるIATA、航空会社、および仕事関連プログラムの一環としてのカナダへの旅行と密接に関連しています。ハッカーはまた、BSPLink、COVID-19、Microsoft Update、観光、またはカナダの労働者関連プログラムという名前の金融決済サービスにリンクされた餌を使用しました。ある例では、ハッカーはフィッシング詐欺に合法的なカナダの移民ウェブサイトを採用していることが確認されています。