Новости Хак-группа LazyScripter нацелилась на авиакомпании

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.156
Репутация
536
Реакции
1.634
RUB
2.000
Сделок через гаранта
22
Депозит
56 072 рублей
Airline-384x220.jpg
В конце 2020 года эксперты компании Malwarebytes обнаружили хак-группу LazyScripter, активную с 2018 года и долгое время остававшуюся незамеченной. Сообщается, что эти злоумышленники атакуют авиакомпании, использующие программное обеспечение BSPLink, разработанное Международной ассоциацией воздушного транспорта (IATA).

Исследователи рассказывают, что атаки LazyScripter обычно начинаются с фишинга, мишенями которого становятся люди, собирающиеся иммигрировать в Канаду по работе, авиакомпании, а также IATA.

LazyScripterMaldocs.png


Обнаруженные вредоносные документы LazyScripter
Инфраструктура преступников по-прежнему активна, и группировка все время развивается, обновляя свой инструментарий. Так, в последнее время хакеры используют свободно доступную малварь Octopus и Koadic, которая обычно доставляется жертвам посредством вредоносных документов и ZIP-архивов, содержащих встроенные объекты (VBScript или пакетные файлы), а не макросы, как часто бывает во время подобных атак.

Эксперты обнаружили и другие примеры того, что LazyScripter используют для атак RAT, также применяемые другими хакерскими группами: LuminosityLink, RMS, Quasar, njRat и Remcos.

Фишинговые письма, изученные специалистами, использовали один и тот же загрузчик для Koadic и Octopus. Он получил название KOCTOPUS, а до него преступники пользовались Empoder, загрузчиком для PowerShell Empire.

LazyScripterKoctopus.png


Схема атаки
Эксперты отмечают, что ко всему прочему LazyScripter размещают свои наборы инструментов на GitHub, и такую тактику ранее использовала другая APT, связанная с Ираном. Всего удалось найти три аккаунта, связанных с LazyScripter: два из них (LIZySARA и Axella49) были удалены еще в январе текущего года, но третий (OB2021) появился в начале текущего месяца и продолжал работать еще на этой неделе, хотя после публикации отчета Malwarebytes был тоже удален.

LazyScripterGitHub.png


Интересно, что некоторые фишинговые приманки преступников явно были ориентированы на авиакомпании, которые используют программное обеспечение BSPLink, разработанное IATA для составления планов выставления счетов и производства расчетов (BSP). Так, совсем недавно приманка хакеров в очередной изменилась и эксплуатирует тему новой функции, представленной IATA — IATA ONE ID (инструмент для бесконтактной обработки пассажиров).

LazyScripterPhish.png


В целом злоумышленники использую самые разные темы, для привлечения внимания жертв, начиная от COVID-19 и обновлений продуктов Microsoft, и заканчивая безопасностью IATA и канадскими визами. На схеме ниже можно увидеть, как менялись приманки группировки с течением лет.

LazyScripterLures.png


В отчете исследователи Malwarebytes не делают никаких окончательных выводов относительно атрибуции LazyScripter. Так как группа в основном использует опенсорсные и широко распространенные инструменты, определить ее происхождение крайне трудно. Лишь две хак-группы ранее применяли пентестерский инструмент Koadic: связанная с Ираном MuddyWater и российская APT28 (она же Fancy Bear, Sofacy, Strontium, Sednit и так далее). Однако в данном случае эксперты не обнаружили прочных связей ни с одной из них, хотя косвенные улики все же говорят о сходстве с MuddyWater.
 
Сверху Снизу