LazyScripter APT

Par GoldSparrow en Advanced Persistent Threat (APT)

Se traduisent par :

Les chercheurs d'Infosec pensent avoir réussi à isoler l'activité d'un nouveau groupe APT (Advanced Persistent Threat) qu'ils ont nommé LazyScript. Il faut noter que LazyScript partage pas mal de similitudes avec plusieurs groupes APT déjà établis, principalement ceux du Moyen-Orient. Par exemple, LazyScript et MuddyWater ont été observés comme utilisant les outils de malware Empire et Koadic, PowerShell et GitHub comme référentiels de charge utile. Le groupe basé en Russie connu sous le nom d' APT28 (alias FancyBear) a également utilisé le malware Koadic dans le passé. En outre, la méthodologie utilisée par LazyScript pour convertir les scripts PowerShell en fichiers exécutables est la même que celle de OilRig APT.

Il y a suffisamment d'aspects uniques à propos de LazyScript pour justifier leur établissement en tant qu'entité distincte. Le groupe semble avoir un ensemble d'objectifs extrêmement restreint - l'Association du transport aérien international (IATA), plusieurs autres exploitants aériens et certaines personnes qui envisagent de déménager au Canada dans le cadre de programmes gouvernementaux liés à l'emploi. Le but des hackers est d'obtenir des informations sensibles de leurs victimes qui peuvent ensuite être militarisées à la fois dans le cadre des activités actuelles et futures. Une autre caractéristique qui distingue LazyScript est la sophistication relativement inférieure du jeu d'outils de logiciels malveillants par rapport aux autres groupes ATP. En effet, l'arsenal menaçant de LazyScript semble être principalement composé d'outils d'accès à distance open source ou disponibles dans le commerce sans aucune menace RAT personnalisée. Jusqu'à présent, LazyScript s'est appuyé sur les menaces de logiciels malveillants suivantes:

Octopus - RAT Windows open source qui peut récolter et exfiltrer des données, établir des routines de reconnaissance et effectuer le profilage du système.
Koadic - outil open source utilisé pour les tests de pénétration, la livraison de charges utiles et la génération d'implants.
LuminosityLink - RAT utilisé pour le contrôle à distance des systèmes infectés et des activités d'espionnage
Remcos - RAT qui permet aux attaquants d'établir un contrôle total sur l'appareil compromis
KOCTUPUS - chargeur menaçant chargé d'initier PowerShell Empire sur les appareils infectés.

Les attaques de LazyScript commencent par la diffusion d'e-mails de spam contenant des leurres de phishing à des individus d'intérêt. Les e-mails de phishing peuvent utiliser plusieurs scénarios différents conçus pour attirer l'attention de la victime. Les thèmes les plus utilisés sont étroitement liés aux cibles des hackers - l'IATA, les compagnies aériennes et les voyages au Canada dans le cadre de programmes liés à l'emploi. Les pirates ont également utilisé des appâts liés à un service de règlement financier nommé BSPLink, COVID-19, des mises à jour de Microsoft, du tourisme ou des programmes liés aux travailleurs canadiens. Il a été confirmé que, dans un cas, les pirates ont même utilisé un site Web d'immigration canadien légitime dans leur programme de phishing.

Rechercher

Changer de région

LazyScripter APT

Soumettre un Commentaire

Tendance

Safe Search Eng

MarioLocker Ransomware

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran