Um ator de ameaças focado em espionagem cibernética, até então não documentado e denominado LilacSquid, foi associado a ataques direcionados que abrangem diversos setores nos Estados Unidos (EUA), Europa e Ásia como parte de uma campanha de roubo de dados desde pelo menos 2021.
"A campanha tem como objetivo estabelecer acesso de longo prazo às organizações vítimas comprometidas para permitir que LilacSquid desvie dados de interesse para servidores controlados pelo atacante", disse o pesquisador da Cisco Talos, Asheer Malhotra, em um novo relatório técnico publicado hoje.
Os alvos incluem organizações de tecnologia da informação que desenvolvem software para os setores de pesquisa e industrial nos EUA, empresas de energia na Europa e o setor farmacêutico na Ásia, indicando uma ampla pegada de vitimologia.
As cadeias de ataque são conhecidas por explorar vulnerabilidades publicamente conhecidas para violar servidores de aplicativos voltados para a internet ou fazer uso de credenciais RDP (Remote Desktop Protocol) comprometidas para entregar uma mistura de ferramentas de código aberto e malware personalizado.
O traço mais distintivo da campanha é o uso de uma ferramenta de gerenciamento remoto de código aberto chamada MeshAgent, que serve como um meio para entregar uma versão personalizada do Quasar RAT, codinomeada PurpleInk.
Procedimentos alternativos de infecção que exploram credenciais RDP comprometidas exibem um modus operandi ligeiramente diferente, onde os atores de ameaças optam por implementar o MeshAgent ou descarregar um carregador baseado em .NET apelidado de InkLoader para soltar PurpleInk.
"Um login bem-sucedido via RDP leva ao download do InkLoader e do PurpleInk, copiando esses artefatos em diretórios desejados no disco e o subsequente registro do InkLoader como um serviço que é então iniciado para deployar o InkLoader e, por sua vez, PurpleInk," disse Malhotra.
PurpleInk, mantido ativamente pelo LilacSquid desde 2021, é simultaneamente fortemente obfuscado e versátil, permitindo executar novas aplicações, realizar operações de arquivo, obter informações do sistema, enumerar diretórios e processos, iniciar um shell remoto e conectar-se a um endereço remoto específico fornecido por um servidor C2 (command-and-control).
A Talos disse que identificou outra ferramenta personalizada chamada InkBox que se diz ter sido usada pela ameaça para deploy do PurpleInk antes do InkLoader.
A incorporação do MeshAgent como parte de seus playbooks pós-comprometimento é notável, em parte, pelo fato de ser uma tática anteriormente adotada por um ator de ameaça norte-coreano chamado Andariel, um subgrupo dentro do infame Grupo Lazarus, em ataques direcionados a empresas sul-coreanas.
Outra coincidência diz respeito ao uso de ferramentas de túnel para manter acesso secundário, com o LilacSquid implementando Secure Socket Funneling (SSF) para criar um canal de comunicação com sua infraestrutura.
"Múltiplas táticas, técnicas, ferramentas e procedimentos (TTPs) utilizados nesta campanha têm algumas sobreposições com grupos APT da Coreia do Norte, como Andariel e seu grupo guarda-chuva, Lazarus", disse Malhotra.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...