Σύμφωνα με μια νέα αναφορά της Malwarebytes, μια hacking ομάδα που παρέμεινε απαρατήρητη για περίπου δύο χρόνια, φαίνεται να στοχεύει αεροπορικές εταιρείες που χρησιμοποιούν το BSPLink financial settlement software, που δημιουργήθηκε από τη Διεθνή Ένωση Αερομεταφορών (IATA). Οι ερευνητές ονόμασαν την ομάδα LazyScripter.
Οι δραστηριότητες της hacking ομάδας ανακαλύφθηκαν για πρώτη φορά το Δεκέμβριο του 2020. Πέρα από τις αεροπορικές εταιρείες, οι επιτιθέμενοι στοχεύουν και την ίδια την IATA αλλά και μετανάστες. Στις πιο πρόσφατες επιθέσεις έστειλαν phishing emails που υποτίθεται ότι περιείχαν το νέο IATA ONE ID (Contactless Passenger Processing tool).
Σύμφωνα με τους ερευνητές, οι hackers ξεκίνησαν πιθανότατα τις επιθέσεις τους το 2018. Με την πάροδο του χρόνου, η ομάδα άρχισε να χρησιμοποιεί πιο εξελιγμένα hacking εργαλεία, όπως τα Koadic και Octopus RATs, LuminosityLink, RMS, Quasar, njRat και Remcos RATs.
Τα phishing emails που χρησιμοποιήθηκαν σε αυτές τις επιθέσεις, χρησιμοποίησαν το ίδιο loader (KOCTOPUS) για να εγκαταστήσουν το Koadic και το Octopus RAT.
Σύμφωνα με τους ερευνητές, η hacking ομάδα LazyScripter χρησιμοποιούσε διάφορα θέματα για να δελεάσει τις αεροπορικές εταιρείες: θέματα που σχετίζονταν με την IATA, θέσεις εργασίας, IATA ONE ID, κιτ υποστήριξης χρηστών για χρήστες IATA, BSPlink Updater ή Upgrade, COVID-19, Canada Visa, Microsoft Updates κ.ά.
Τα phishing μηνύματα περιελάμβαναν αρχεία που περιείχαν το loader. Τα κακόβουλα εργαλεία φιλοξενήθηκαν κυρίως σε δύο λογαριασμούς GitHub, οι οποίοι διαγράφηκαν στις 12 και 14 Ιανουαρίου 2021. Ωστόσο, δημιουργήθηκε ένας νέος λογαριασμός στις 2 Φεβρουαρίου.
Η τελευταία εκστρατεία της LazyScripter εντοπίστηκε στις 5 Φεβρουαρίου, με μια παραλλαγή του KOCTOPUS να παραδίδεται, ως BSPLink Upgrade.exe. Εκτός από το Octopus και το Koadic, το KOCTOPUS παρέδωσε επίσης μια παραλλαγή του Quasar RAT.
Οι ερευνητές της Malwarebytes έχουν εντοπίσει 14 κακόβουλα έγγραφα που έχει χρησιμοποιήσει η ομάδα LazyScripter από το 2018. Όλα τα έγγραφα έχουν ενσωματωμένες παραλλαγές των KOCTOPUS ή Empoder loaders (το Empoder χρησιμοποιούνταν κυρίως στις πρώτες επιθέσεις).
Μέχρι σήμερα, οι ερευνητές έχουν εντοπίσει τέσσερις διαφορετικές εκδόσεις του KOCTOPUS loader, που χρησιμοποιούνται για την εγκατάσταση των Octopus, Koadic, LuminosityLink, RMS και Quadar RATs.
Πηγή: Security Week