一个以前未记录的以网络间谍为重点的威胁行为者**LilacSquid**,自2021年以来,被链接到针对美国(U.S.)、欧洲和亚洲不同行业的定向攻击,作为数据盗窃运动的一部分。
“这场运动旨在建立对受害组织的长期访问,以使LilacSquid能够将感兴趣的数据吸走至攻击者控制的服务器,”思科Talos研究员Asheer Malhotra在今天发布的一份新的技术报告中说。
目标包括在美国为研究和工业部门构建软件的信息技术组织、欧洲的能源公司以及亚洲的制药行业,表明受害者足迹广泛。
已知的攻击链利用公开已知的漏洞来破坏面向互联网的应用程序服务器,或使用受损的远程桌面协议(RDP)凭据来提供一系列开源工具和自定义恶意软件。
这场运动最显著的特点是使用一个名为MeshAgent的开源远程管理工具,它作为传递名为PurpleInk的Quasar RAT定制版本的通道。
利用受损的RDP凭据的备选感染程序表现出略有不同的作案手法,其中威胁行为者选择部署MeshAgent或投放一个名为InkLoader的基于.NET的加载器来投放PurpleInk。
“通过RDP成功登录导致下载InkLoader和PurpleInk,将这些工件复制到磁盘上的所需目录,并随后注册InkLoader作为服务,然后启动以部署InkLoader,进而PurpleInk,”Malhotra说。
自2021年以来,LilacSquid积极维护的PurpleInk,既经过了大量混淆,又具有多功能性,允许它运行新应用程序、执行文件操作、获取系统信息、枚举目录和进程、启动远程shell,并连接到命令和控制(C2)服务器提供的特定远程地址。
Talos说,它识别出另一个名为InkBox的自定义工具,据说是在InkLoader之前由对手用来部署PurpleInk的。
将MeshAgent作为他们妥协后剧本的一部分是值得注意的,部分原因是它是一种以前由名为Andariel的朝鲜威胁行为者采用的策略,Andariel是臭名昭著的Lazarus集团内的一个子集,在针对韩国公司的攻击中采用。
另一个重叠点涉及到使用隧道工具来保持次要访问,LilacSquid部署了Secure Socket Funneling(SSF)来创建一个通信通道到其基础设施。
“在这场运动中使用的多种战术、技术、工具和程序(TTPs)与朝鲜APT组织,如Andariel及其母伞组织Lazarus,有一些重叠,”Malhotra说。
原文:https://thehackernews.com/2024/05/cyber-espionage-alert-lilacsquid.html
翻译:https://www.youxia.org
