g0140-lazyscripter

# LazyScripter > [!warning] Especialista em Aviação - Duplo RAT via Loader KOCTOPUS > LazyScripter é um dos poucos grupos com **foco exclusivo na indústria de aviação**, usando o loader KOCTOPUS para implantar dois RATs simultaneamente (Empire + Koadic) - maximizando persistência e redundância no alvo. ## Visão Geral **LazyScripter** é um grupo de ameaça persistente avançada de origem desconhecida, com suspeita de nexo ao Oriente Médio ou Ásia do Sul, ativo desde pelo menos 2018. O grupo se distingue por seu **foco quase exclusivo na indústria de aviação** - específicamente em funcionários e organizações que utilizam o sistema IATA (International Air Transport Association). Documentado pela MalwareBytes em 2021, o LazyScripter usa phishing temático com isca de documentos relacionados a migração para sistemas IATA BSP (Billing Settlement Plan) e outros processos burocráticos da aviação. O grupo implanta principalmente ferramentas open-source, dificultando atribuição e reduzindo custos operacionais. A técnica mais distintiva é o uso do loader **KOCTOPUS**, que implanta **dois frameworks de C2 simultaneamente** - tipicamente [[s0363-empire|Empire]] e [[s0250-koadic|Koadic]] - garantindo acesso persistente mesmo que um dos canais sejá detectado. ## Attack Flow - Duplo RAT via KOCTOPUS ```mermaid graph TB A["📧 Phishing IATA Documentos migração BSP Funcionários de aviação"] --> B["📎 Payload Inicial Arquivo HTA / LNK ou link malicioso"] B --> C["⚙️ Execução LOLBIN Mshta.exe / Rundll32 Sem chamar processo filho suspeito"] C --> D["🐙 KOCTOPUS Loader Loader intermediario Via GitHub / Pastebin"] D --> E["🔱 Duplo C2 Empire Framework Koadic JScript RAT"] E --> F["📡 DNS C2 Comúnicação via DNS ngrok para tunelamento"] F --> G["💻 Acesso Persistente Registry Run Keys Coleta de inteligencia de aviacao"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef payload fill:#e67e22,color:#fff,stroke:#d35400 classDef lolbin fill:#8e44ad,color:#fff,stroke:#6c3483 classDef loader fill:#1a5276,color:#fff,stroke:#154360 classDef dual fill:#2471a3,color:#fff,stroke:#1a5276 classDef dns fill:#196f3d,color:#fff,stroke:#145a32 classDef persist fill:#7b241c,color:#fff,stroke:#641e16 class A phish class B payload class C lolbin class D loader class E dual class F dns class G persist ``` ## Arsenal - KOCTOPUS e Ferramentas Open-Source | Ferramenta | Tipo | Função | |-----------|------|--------| | **KOCTOPUS** | Loader proprietário | Downloader intermediário - implanta múltiplos RATs | | **Empire** | C2 Framework | Post-exploitation PowerShell/Python C2 | | **Koadic** | C2 Framework | JScript/COM-based RAT para Windows | | **Remcos** | RAT comercial | Acesso remoto, keylogging, captura de tela | | **QuasarRAT** | RAT open-source | RAT leve para espionagem persistente | | **njRAT** | RAT open-source | Popular em grupos do Oriente Médio e MENA | | **ngrok** | Tunelamento | Expõe serviços locais via túnel HTTPS - evita bloqueios por IP | ### Por Que Usar Open-Source? O LazyScripter demonstra uma estratégia intencional de usar ferramentas públicas disponíveis: 1. **Atribuição dificultada** - mesmas ferramentas usadas por múltiplos grupos 2. **Custo operacional mínimo** - sem necessidade de desenvolver malware proprietário 3. **Atualizações automáticas** - ferramentas como Empire continuam sendo mantidas pela comunidade 4. **Detecção mais lenta** - ferramentas legítimas costumam ter menor taxa de detecção inicial ## Foco em Aviação - Por Que IATA? ```mermaid graph TB A["Por que IATA?"] --> B["Funcionarios de agencias de viagem e companhias aereas"] A --> C["Acesso a sistemas de reservas e dados de passageiros"] A --> D["Inteligencia de movimentação de pessoas de interesse"] B --> E["Phishing credivel com termos tecnicos do setor"] C --> F["Espionagem de rotas diplomaticas e movimentacoes"] D --> G["Mapeamento de viagens de funcionarios governamentais"] classDef target fill:#1a5276,color:#fff,stroke:#154360 classDef intel fill:#c0392b,color:#fff,stroke:#922b21 classDef result fill:#196f3d,color:#fff,stroke:#145a32 class A,B,C,D target class E,F,G intel ``` O interesse do LazyScripter em aviação provavelmente reflete **objetivos de inteligência de movimentação**: saber quem viajá, para onde e quando - informação valiosa para operações de vigilância e espionagem de funcionários governamentais e diplomatas. ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1102-web-service|T1102 - Web Service]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1583-006-web-services|T1583.006 - Web Services]] - [[t1588-001-malware|T1588.001 - Malware]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] ## Software Utilizado - [[koctopus|KOCTOPUS]] - [[s0363-empire|Empire]] - [[s0250-koadic|Koadic]] - [[s0332-remcos|Remcos]] - [[s0262-quasarrat|QuasarRAT]] - [[s0385-njrat|njRAT]] - [[s0508-ngrok|ngrok]] ## Grupos Relacionados - [[g0069-mango-sandstorm|MuddyWater]] - APT iraniano com uso similar de ferramentas open-source - [[g0099-blind-eagle-apt-c-36|APT-C-36]] - grupo sul-americano com uso de RATs open-source em aviação - [[g0079-darkhydrus|DarkHydrus]] - APT com foco similar em governo do Oriente Médio ## Relevância para o Brasil e LATAM > [!warning] Risco Moderado - Setor de Aviação Brasileiro Relevante > O Brasil possui um dos maiores setores de aviação da América Latina - com Embraer, TAM/LATAM, Gol, Azul e dezenas de fornecedores de MRO. Funcionários dessas empresas que recebem comúnicações IATA são alvos potenciais deste perfil de phishing. O LazyScripter opera com **phishing altamente credível** para funcionários de aviação: isca com migração de sistemas IATA/BSP, termos técnicos do setor e urgência burocrática. Em um setor que depende criticamente de comúnicações eletrônicas, esse vetor tem taxa de clique elevada. **Organizações em risco no Brasil:** - Companhias aéreas (LATAM, Gol, Azul) e seus departamentos de TI/operações - Fornecedores de MRO (manutenção, reparo e revisão) como [[embraer|Embraer]] - Agências de viagem corporativa com acesso a GDS (Amadeus, Sabre, Galileo) - Prestadores de serviço aeroportuário com acesso a sistemas IATA **Recomendações específicas:** - Treinar funcionários de aviação para reconhecer phishing temático IATA - Bloquear execução de Mshta.exe e Rundll32.exe de documentos Office - Monitorar tráfego DNS suspeito para domínios criados recentemente - Detectar uso de ngrok em ambientes corporativos (indicador de tunelamento C2) ## Detecção e Mitigação - Implementar ASR (Attack Surface Reduction) rules para bloquear Mshta e Rundll32 como vetores - Monitorar PowerShell com execução encodada (Base64) - indicador de Empire/Koadic - Bloquear serviços de tunelamento como ngrok via firewall de saída - Inspecionar tráfego DNS para padrões de C2 (consultas longas, alta frequência para domínios novos) - Treinar detecção de phishing com terminologia específica de aviação/IATA ## Referências - [1](https://www.malwarebytes.com/blog/threat-intelligence/2021/03/lazyscripter-from-empire-to-double-rat) MalwareBytes - LazyScripter: From Empire to Double RAT (2021) - [2](https://attack.mitre.org/groups/G0140/) MITRE ATT&CK - G0140 LazyScripter - [3](https://securityaffairs.com/116295/hacking/lazyscripter-apt-aviation.html) Security Affairs - LazyScripter APT targets airlines and IATA (2021) - [4](https://www.threatpost.com/lazyscripter-airline-spyware/165012/) ThreatPost - LazyScripter Sets Sights on Airlines with Open-Source RATs (2021)