В конце 2020 года эксперты компании Malwarebytes обнаружили хак-группу LazyScripter, активную с 2018 года и долгое время остававшуюся незамеченной. Сообщается, что эти злоумышленники атакуют авиакомпании, использующие программное обеспечение BSPLink, разработанное Международной ассоциацией воздушного транспорта (IATA).
Исследователи рассказывают, что атаки LazyScripter обычно начинаются с фишинга, мишенями которого становятся люди, собирающиеся иммигрировать в Канаду по работе, авиакомпании, а также IATA.
Инфраструктура преступников по-прежнему активна, и группировка все время развивается, обновляя свой инструментарий. Так, в последнее время хакеры используют свободно доступную малварь Octopus и Koadic, которая обычно доставляется жертвам посредством вредоносных документов и ZIP-архивов, содержащих встроенные объекты (VBScript или пакетные файлы), а не макросы, как часто бывает во время подобных атак.
Эксперты обнаружили и другие примеры того, что LazyScripter используют для атак RAT, также применяемые другими хакерскими группами: LuminosityLink, RMS, Quasar, njRat и Remcos.
Фишинговые письма, изученные специалистами, использовали один и тот же загрузчик для Koadic и Octopus. Он получил название KOCTOPUS, а до него преступники пользовались Empoder, загрузчиком для PowerShell Empire.
Эксперты отмечают, что ко всему прочему LazyScripter размещают свои наборы инструментов на GitHub, и такую тактику ранее использовала другая APT, связанная с Ираном. Всего удалось найти три аккаунта, связанных с LazyScripter: два из них (LIZySARA и Axella49) были удалены еще в январе текущего года, но третий (OB2021) появился в начале текущего месяца и продолжал работать еще на этой неделе, хотя после публикации отчета Malwarebytes был тоже удален.
Интересно, что некоторые фишинговые приманки преступников явно были ориентированы на авиакомпании, которые используют программное обеспечение BSPLink, разработанное IATA для составления планов выставления счетов и производства расчетов (BSP). Так, совсем недавно приманка хакеров в очередной изменилась и эксплуатирует тему новой функции, представленной IATA — IATA ONE ID (инструмент для бесконтактной обработки пассажиров).
В целом злоумышленники использую самые разные темы, для привлечения внимания жертв, начиная от COVID-19 и обновлений продуктов Microsoft, и заканчивая безопасностью IATA и канадскими визами. На схеме ниже можно увидеть, как менялись приманки группировки с течением лет.
В отчете исследователи Malwarebytes не делают никаких окончательных выводов относительно атрибуции LazyScripter. Так как группа в основном использует опенсорсные и широко распространенные инструменты, определить ее происхождение крайне трудно. Лишь две хак-группы ранее применяли пентестерский инструмент Koadic: связанная с Ираном MuddyWater и российская APT28 (она же Fancy Bear, Sofacy, Strontium, Sednit и так далее). Однако в данном случае эксперты не обнаружили прочных связей ни с одной из них, хотя косвенные улики все же говорят о сходстве с MuddyWater.