Les chercheurs en sécurité analysant plusieurs ensembles d’e-mails malveillants pensent avoir découvert une activité appartenant à un acteur précédemment non identifié qui correspond à la description d’une menace persistante avancée (APT).

L’acteur a reçu le nom de LazyScripter et est actif depuis 2018, utilisant le phishing pour cibler les personnes cherchant à immigrer au Canada pour un emploi, les compagnies aériennes et l’Association du transport aérien international (IATA).

L’infrastructure supportant cette campagne de long terme est toujours active et l’acteur continue d’évoluer en mettant à jour ses outils.

Utiliser des projets open source

La dernière activité de LazyScripter implique l’utilisation des logiciels malveillants Octopus et Koadic disponibles gratuitement. Les deux ont été livrés via des documents malveillants et des archives ZIP contenant des objets intégrés (VBScript ou fichiers batch) et non du code de macro couramment observé dans les attaques de phishing.

Les chercheurs de Malwarebytes ont également trouvé d’autres exemples où l’attaquant a abandonné d’autres chevaux de Troie d’accès à distance (RAT) communs à plusieurs groupes de piratage: LuminosityLink, RMS, Quasar, njRat et Remcos.

Selon les chercheurs, LazyScripter est passé à la tactique double-RAT après avoir initialement utilisé le cadre de post-exploitation de PowerShell Empire. Les chercheurs ont respectivement nommé les chargeurs de ces charges utiles KOCTOPUS et Empoder.

En règle générale, les documents malveillants sont livrés avec un ou deux objets incorporés avec des icônes prétendant être des fichiers PDF, Microsoft Word / Excel; il s’agit en fait de variantes batch, exécutables ou VBScript des chargeurs KOCTOPUS et Empoder.

Utilisé pour déployer Octopus et Koadic et assurer leur persistance sur le système, KOCTOPUS est hautement obscurci à l’aide de l’outil BatchEncryption.

Le processus de compromis global via KOCTOPUS implique le contournement de la fonction de sécurité Contrôle de compte d’utilisateur (UAC) dans Windows, la désactivation des produits de sécurité Microsoft et le téléchargement de RMS ou LuminosityLink RAT.

Voir la source de cette publication