LilacSquid richt zich op de IT-, energie- en farmaceutische sectoren

Een voorheen ongedocumenteerde, op cyberspionage gerichte dreigingsacteur genaamd LilaInktvis wordt sinds minstens 2021 in verband gebracht met gerichte aanvallen in verschillende sectoren in de Verenigde Staten (VS), Europa en Azië als onderdeel van een gegevensdiefstalcampagne.

“De campagne is gericht op het tot stand brengen van langdurige toegang tot gecompromitteerde slachtofferorganisaties, zodat LilacSquid interessante gegevens kan overhevelen naar door de aanvaller gecontroleerde servers”, zegt Cisco Talos-onderzoeker Asheer Malhotra in een nieuw technisch rapport dat vandaag is gepubliceerd.

Doelstellingen zijn onder meer informatietechnologieorganisaties die software bouwen voor de onderzoeks- en industriële sectoren in de VS, energiebedrijven in Europa en de farmaceutische sector in Azië, wat wijst op een brede voetafdruk van slachtofferschap.

Het is bekend dat aanvalsketens publiekelijk bekende kwetsbaarheden misbruiken om internetgerichte applicatieservers te doorbreken of gebruik maken van gecompromitteerde Remote Desktop Protocol (RDP)-referenties om een ​​mix van open-source tools en aangepaste malware te leveren.

Het meest onderscheidende kenmerk van de campagne is het gebruik van een open-source tool voor extern beheer genaamd MeshAgent, die dient als kanaal om een ​​op maat gemaakte versie van Quasar RAT te leveren met de codenaam PurpleInk.

Alternatieve infectieprocedures die gebruikmaken van gecompromitteerde RDP-referenties vertonen een iets andere modus operandi, waarbij de bedreigingsactoren ervoor kiezen om MeshAgent in te zetten of een op .NET gebaseerde lader genaamd InkLoader te laten vallen om PurpleInk te laten vallen.

“Een succesvolle login via RDP leidt tot het downloaden van InkLoader en PurpleInk, het kopiëren van deze artefacten naar de gewenste mappen op schijf en de daaropvolgende registratie van InkLoader als een service die vervolgens wordt gestart om InkLoader en op zijn beurt PurpleInk te implementeren”, aldus Malhotra.

PurpleInk, actief onderhouden door LilacSquid sinds 2021, is zowel zwaar versluierd als veelzijdig, waardoor het nieuwe applicaties kan uitvoeren, bestandsbewerkingen kan uitvoeren, systeeminformatie kan opvragen, mappen en processen kan opsommen, een externe shell kan starten en verbinding kan maken met een specifiek extern adres dat wordt verstrekt door een command-and-control (C2)-server.

Talos zei dat het een andere aangepaste tool heeft geïdentificeerd, genaamd InkBox, die door de tegenstander zou zijn gebruikt om PurpleInk in te zetten voorafgaand aan InkLoader.

De opname van MeshAgent als onderdeel van hun post-compromis-playbooks is gedeeltelijk opmerkelijk vanwege het feit dat het een tactiek is die eerder werd toegepast door een Noord-Koreaanse dreigingsacteur genaamd Andariel, een subcluster binnen de beruchte Lazarus Group, bij aanvallen gericht op Zuid-Koreanen. bedrijven.

Een andere overlap betreft het gebruik van tunnelingtools om secundaire toegang te behouden, waarbij LilacSquid Secure Socket Funneling (SSF) inzet om een ​​communicatiekanaal naar zijn infrastructuur te creëren.

“Meerdere tactieken, technieken, instrumenten en procedures (TTP’s) die in deze campagne worden gebruikt, vertonen enige overlap met Noord-Koreaanse APT-groepen, zoals Andariel en de overkoepelende moedergroep Lazarus,” zei Malhotra.

Thijs Van der Does