• ОСТОРОЖНО ФЕЙКИ ФОРУМА!

    В сети появляются фейки нашего форума!

    Будьте бдительны!

    ВНИМАНИЕ НАШИ ДОМЕНЫ ТОЛЬКО

    PROBIV.CC = PROBIV.BIZ = PROBIV.ONE = PROBIV.ME = PROBIV.BZ = PROBIV.XYZ!

    В СЕТИ ТОР ДОМЕН ТОЛЬКО

    probivoz7zxs7fazvwuizub3wue5c6vtcnn6267fq4tmjzyovcm3vzyd.onion

    Напоминаем, что АГ форума не просят деньги в мессенжерах! Все вопросы решаются через форум!

    Будьте внимательны!
  • Внимание !

    На ряде теневых форумов участились случаи взлома аккаунтов, приоритет у взломщиков имеют старые аккаунты и аккаунты с историей, продаются и аккаунты продавцов.

    Будьте внимательны, старайтесь проводить сделки через Гарант-сервис. Если Вы хотите приобрести услугу у продавца или у отлежавшегося аккаунта, требуйте провести сделку через гарант-сервис, при отказе сразу сообщайте АГ форума.

    Настоятельно рекомендуем:

    • Периодически менять пароли
    • Убирать галочку вхождение автоматом в браузере
    • Чистить куки и кеш браузера
    • Использовать двухфакторную аутентификацию
  • АФИША ФОРУМА

    Полезная информация для форумчан:

    FAQ по форуму

    (все самое полезное в одном месте)

    Аттракцион бесплатных проверок

    (помогаем модераторам проводить проверки тем)

    Бесплатный сыр

    (раздел для искушённого пользователя)

    Конкурсы

    (участвуй в конкурсах и получай призы)

Новости Хак-группа LazyScripter нацелилась на авиакомпании

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.121
Репутация
516
Реакции
1.628
Сделок через гаранта
17
Депозит
57 572 рублей
Airline-384x220.jpg
В конце 2020 года эксперты компании Malwarebytes обнаружили хак-группу LazyScripter, активную с 2018 года и долгое время остававшуюся незамеченной. Сообщается, что эти злоумышленники атакуют авиакомпании, использующие программное обеспечение BSPLink, разработанное Международной ассоциацией воздушного транспорта (IATA).

Исследователи рассказывают, что атаки LazyScripter обычно начинаются с фишинга, мишенями которого становятся люди, собирающиеся иммигрировать в Канаду по работе, авиакомпании, а также IATA.

LazyScripterMaldocs.png


Обнаруженные вредоносные документы LazyScripter
Инфраструктура преступников по-прежнему активна, и группировка все время развивается, обновляя свой инструментарий. Так, в последнее время хакеры используют свободно доступную малварь Octopus и Koadic, которая обычно доставляется жертвам посредством вредоносных документов и ZIP-архивов, содержащих встроенные объекты (VBScript или пакетные файлы), а не макросы, как часто бывает во время подобных атак.

Эксперты обнаружили и другие примеры того, что LazyScripter используют для атак RAT, также применяемые другими хакерскими группами: LuminosityLink, RMS, Quasar, njRat и Remcos.

Фишинговые письма, изученные специалистами, использовали один и тот же загрузчик для Koadic и Octopus. Он получил название KOCTOPUS, а до него преступники пользовались Empoder, загрузчиком для PowerShell Empire.

LazyScripterKoctopus.png


Схема атаки
Эксперты отмечают, что ко всему прочему LazyScripter размещают свои наборы инструментов на GitHub, и такую тактику ранее использовала другая APT, связанная с Ираном. Всего удалось найти три аккаунта, связанных с LazyScripter: два из них (LIZySARA и Axella49) были удалены еще в январе текущего года, но третий (OB2021) появился в начале текущего месяца и продолжал работать еще на этой неделе, хотя после публикации отчета Malwarebytes был тоже удален.

LazyScripterGitHub.png


Интересно, что некоторые фишинговые приманки преступников явно были ориентированы на авиакомпании, которые используют программное обеспечение BSPLink, разработанное IATA для составления планов выставления счетов и производства расчетов (BSP). Так, совсем недавно приманка хакеров в очередной изменилась и эксплуатирует тему новой функции, представленной IATA — IATA ONE ID (инструмент для бесконтактной обработки пассажиров).

LazyScripterPhish.png


В целом злоумышленники использую самые разные темы, для привлечения внимания жертв, начиная от COVID-19 и обновлений продуктов Microsoft, и заканчивая безопасностью IATA и канадскими визами. На схеме ниже можно увидеть, как менялись приманки группировки с течением лет.

LazyScripterLures.png


В отчете исследователи Malwarebytes не делают никаких окончательных выводов относительно атрибуции LazyScripter. Так как группа в основном использует опенсорсные и широко распространенные инструменты, определить ее происхождение крайне трудно. Лишь две хак-группы ранее применяли пентестерский инструмент Koadic: связанная с Ираном MuddyWater и российская APT28 (она же Fancy Bear, Sofacy, Strontium, Sednit и так далее). Однако в данном случае эксперты не обнаружили прочных связей ни с одной из них, хотя косвенные улики все же говорят о сходстве с MuddyWater.
 
Сверху Снизу