El nuevo grupo APT apunta a la industria aérea y la inmigración



LazyScript tiene similitudes con algunos grupos de Oriente Medio, pero parece ser una operación distinta en sí misma, dice Malwarebytes.

Un nuevo grupo de amenazas con algunas similitudes con otros actores conocidos de amenazas persistentes avanzadas (APT) está atacando a la Asociación de Transporte Aéreo Internacional (IATA), varias aerolíneas e individuos que planean emigrar a Canadá en programas gubernamentales relacionados con el trabajo.

La operación de phishing dirigida ha estado activa desde al menos 2018. El seguimiento continuo muestra que el actor de amenazas continúa actualizando activamente la infraestructura y los conjuntos de herramientas de malware, según un nuevo informe de Malwarebytes.

Basado en el enfoque estricto del objetivo del grupo y sus herramientas y métodos, el proveedor de seguridad ha designado al atacante como un nuevo APT, que está rastreando como LazyScripter. El motivo principal del grupo parece ser robar información e inteligencia de las víctimas, tanto para uso real como para futuros ataques dirigidos.

Hossein Jazi, analista senior de inteligencia de amenazas en Malwarebytes, dice que el análisis de su compañía sugiere que LazyScripter no es tan sofisticado como otros grupos de amenazas, como Lazarus de Corea del Norte y APT28 de Rusia (también conocido como Fancy Bear). «De hecho, nuestros investigadores descubrieron que este actor no ha desarrollado ningún (troyanos de acceso remoto o RAT) personalizados y se basa principalmente en RAT de código abierto y disponibles comercialmente en sus operaciones».

Malwarebytes dice que es análisis de la actividad de amenazas de LazyScripter muestra que el modus operandi del grupo es utilizar campañas de spam dirigidas para entregar señuelos de phishing a personas de interés en la IATA y otras áreas de enfoque. Los señuelos tienen principalmente temas relacionados con la IATA, las aerolíneas y la inmigración relacionada con el trabajo a Canadá. Otros temas de phishing utilizados con menos frecuencia incluyen los relacionados con BSPLink, un servicio de liquidación financiera que utilizan muchas aerolíneas, así como el turismo, COVID-19, actualizaciones de Microsoft y un programa canadiense para trabajadores calificados. En al menos una campaña, se observó que el actor de la amenaza usaba un sitio website legítimo de inmigración canadiense como señuelo de phishing.

Los correos electrónicos de phishing generalmente contienen objetos incrustados que implementan Octopus y Koadic, dos RAT de múltiples etapas de código abierto. INGLETE describe Koadic como una herramienta de submit-explotación de Home windows para pruebas de penetración, creación de implantes y estadificación de cargas útiles. Pulpo es un troyano de Home windows que, entre otras cosas, permite el robo de datos, la carga y descarga de archivos, el espionaje y la creación de perfiles del sistema.

Malwarebytes dice que sus investigadores han observado que LazyScripter también descarta otras RAT previamente conocidas como LuminosityLink, un malware que permite a los atacantes obtener acceso remoto a los sistemas y espiar a los usuarios, y Remcos, otra herramienta para obtener el regulate remoto de los sistemas. Todos los correos electrónicos de phishing recientes de LazyScripter han incluido un cargador de malware que Malwarebytes llama KOCTUPUS. También está asociado con otro cargador, que Malwarebytes ha denominado Empoder, para cargar PowerShell Empire en sistemas infectados.

Jazi dice que algunas características específicas del actor de amenazas incluyen el uso de RAT de varias etapas, la dependencia de lenguajes de scripting para implementar el malware y el uso de proveedores de DNS dinámicos gratuitos para comunicaciones de comando y management. Otra característica distintiva es el uso de objetos incrustados en lugar de macros para convertir los documentos en armas.

Similitudes con otros grupos
Malwarebytes dice que su análisis de la infraestructura y los conjuntos de herramientas de malware de LazyScripter sugiere una conexión con grupos APT conocidos, como APT28 con sede en Rusia y el grupo de amenazas iraní OilRig. APT28, por ejemplo, se ha asociado anteriormente con Koadic, y OilRig se ha visto usando la misma herramienta que LazyScripter ha estado usando para convertir scripts de PowerShell en ejecutables.

Sin embargo, el grupo con el que LazyScripter tiene más en común es MuddyWater, otro actor de amenazas iraní conocido por centrarse en objetivos en el Medio Oriente. Malwarebytes dice que su análisis muestra que ambos grupos han usado Empire y Koadic, ambos usan PowerShell y ambos han usado GitHub para alojar cargas útiles maliciosas. Aun así, las similitudes con otros grupos son demasiado tenues y las diferencias lo suficientemente distintas como para sugerir que LazyScripter es un grupo APT distinto, dice Malwarebytes.

«El actor comparte similitudes con algunos actores de Oriente Medio», dice Jazi. «Por lo tanto, existe una alta probabilidad de que el actor tenga su sede (en) Oriente Medio, pero no tenemos suficientes indicadores sólidos para confirmarlo».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial