LilacSquid APT se dirige a organizaciones en EE. UU., Europa y Asia desde al menos 2021

LilacSquid APT se dirige a organizaciones en EE. UU., Europa y Asia desde al menos 2021

Un grupo APT previamente indocumentado que rastreaba como LilacSquid se ha dirigido a organizaciones en los EE. UU., Europa y Asia desde al menos 2021.

Los investigadores de Cisco Talos informaron que un grupo APT previamente indocumentado, llamado LilacSquid, ha llevado a cabo una campaña de robo de datos desde al menos 2021.

Los ataques se dirigieron a entidades de diversas industrias, incluidas organizaciones de los sectores industrial y de tecnología de la información en los Estados Unidos, organizaciones del sector energético en Europa y el sector farmacéutico en Asia.

Los actores de amenazas fueron detectados utilizando la herramienta de administración remota de código abierto MeshAgent y una versión personalizada del malware QuasarRAT rastreado por Talos como PurpleInk.

PurpleInk es la planta principal en la actividad posterior a la explotación de ataques dirigidos a servidores de aplicaciones vulnerables.

Los atacantes aprovecharon vulnerabilidades en servidores de aplicaciones con acceso a Internet y credenciales de protocolo de escritorio remoto (RDP) comprometidas para utilizar una variedad de herramientas de código abierto, incluidas MeshAgent y Secure Socket Funneling (SSF), junto con malware personalizado, como «PurpleInk» e «InkBox». » y «Cargadores InkLoader». La herramienta Secure Socket Funneling (SSF) permite a los atacantes realizar proxy y túneles de múltiples sockets a través de un túnel TLS seguro.

Los actores de amenazas pretenden establecer acceso a largo plazo a las organizaciones de las víctimas comprometidas para robar datos confidenciales.

Los investigadores señalaron que las tácticas, técnicas y procedimientos (TTP) de LilacSquid se superponen con los grupos APT vinculados a Corea del Norte como Andariel y Lazarus. Se ha informado que el grupo Andariel APT utiliza MeshAgent para el acceso posterior al compromiso, mientras que Lazarus utiliza ampliamente herramientas de proxy y túneles SOCK junto con malware personalizado para mantener la persistencia y la exfiltración de los datos. LilacSquid utiliza de manera similar SSF y otro malware para crear túneles hacia sus servidores remotos.

InkLoader es un cargador basado en .NET diseñado para ejecutar comandos o ejecutables codificados. Admite un mecanismo de persistencia y se destacó la implementación de PurpleInk.

LilacSquid usa InkLoader junto con PurpleInk cuando pueden crear y mantener sesiones de escritorio remoto (RDP) utilizando credenciales robadas. Después de iniciar sesión en RDP con éxito, los atacantes descargaron InkLoader y PurpleInk, los copiaron en directorios específicos y InkLoader se registró como un servicio. El servicio se utiliza para iniciar InkLoader, que luego utiliza PurpleInk.

PurpleInk se desarrolla activamente desde 2021, se basa en un archivo de configuración para obtener información como la dirección y el puerto del servidor de comando y control (C2), que generalmente se decodifica y decodifica con base64.

PurpleInk es muy sigiloso y versátil, el malware admite múltiples capacidades RAT que incluyen:

• Enumeración de procesos y transmisión de detalles al C2.
• Terminación de procesos específicos.
• Ejecute nuevas aplicaciones.
• Recopilación de información de conducción.
• Enumerar directorios y obtener detalles de archivos.
• Leer y extraer archivos específicos.
• Reemplaza o agrega contenido a archivos específicos.

Talos también observó que APT usaba una herramienta especial llamada InkBox para usar PurpleInk antes que InkLoader.

“InkBox es un cargador de malware que leerá una ruta de archivo codificada en disco y descifrará su contenido. El contenido descifrado es otro ensamblado ejecutable que luego se ejecuta invocando su punto de entrada dentro del proceso InkBox. lee el análisis publicado por Talos.

Los investigadores han proporcionado indicadores de compromiso (IOC) para las amenazas anteriores en GitHub.