研究人员发现了一项新的数据盗窃活动,该活动至少自 2021 年开始活跃,由名为“LilacSquid”的高级持续性威胁 (APT) 行为者发起。
思科 Talos的研究人员观察到,此次攻击活动针对的是多种行业,包括美国的 IT 组织、欧洲的能源公司和亚洲的制药公司。受害者范围如此广泛表明,LilacSquid 不分行业,旨在窃取各个行业的数据。
使用开源工具和定制恶意软件
LilacSquid 的攻击活动在入侵暴露在互联网上的易受攻击的应用服务器后,采用了开源远程管理工具 MeshAgent 和 QuasarRAT 的定制版本(研究人员称之为“PurpleInk”)作为主要植入物。
LilacSquid 利用面向公众的应用程序服务器漏洞和受损的远程桌面协议 (RDP) 凭据来部署一系列开源工具和定制恶意软件,包括 MeshAgent、SSF、PurpleInk 以及加载器InkBox 和 InkLoader。
LilacSquid 通过持久性实现数据窃取的长期访问
Talos 高度确信,LilacSquid 至少自 2021 年以来一直活跃,专注于建立对受感染组织的长期访问权限,以将有价值的数据窃取到攻击者控制的服务器中。
该活动成功攻击了亚洲、欧洲和美国的制药、石油天然气和技术等各个领域的实体。
LilacSquid 使用两种主要感染链:利用易受攻击的 Web 应用程序和使用受损的 RDP 凭据。
一旦系统通过利用面向互联网的设备上漏洞而受到攻击,LilacSquid 就会部署多种访问工具,包括 MeshAgent、SSF、InkLoader 和 PurpleInk。
使用 bitsadmin 实用程序下载的 MeshAgent 连接到其命令和控制 (C2) 服务器,进行侦察并激活其他植入物。
另一方面,当 RDP 凭据被盗用时,就会使用基于 .NET 的恶意软件加载程序 InkLoader。它在重新启动后仍会持续存在并执行 PurpleInk,其感染链专门针对远程桌面会话。
LilacSquid 的 PurpleInk 植入物
PurpleInk 源自 QuasarRAT,自 2021 年以来进行了广泛定制。
“尽管 QuasarRAT 至少自2014 年以来就已被威胁行为者使用,但我们观察到 PurpleInk 从 2021 年开始积极开发,并继续发展其与其母恶意软件家族不同的功能。”
它具有强大的远程访问功能,包括进程枚举、文件操作、系统信息收集、远程 shell 访问和代理服务器通信。PurpleInk 的不同变体具有不同的功能,一些精简版本保留了核心功能以逃避检测。
InkBox 是 LilacSquid 使用的较旧的加载程序,它从磁盘上的硬编码文件路径读取,解密其内容并运行 PurpleInk。自 2023 年以来,LilacSquid 已将感染链模块化,PurpleInk 通过 InkLoader 作为单独的进程运行。
在利用后,MeshAgent 会激活其他工具,如 SSF 和 PurpleInk。配置了 MSH 文件的 MeshAgent 允许操作员广泛控制受感染的设备、管理文件、查看和控制桌面以及收集设备信息。
与朝鲜 APT 组织的相似之处
此次攻击活动中使用的战术、技术和程序 (TTP) 与朝鲜的 Andariel 和 Lazarus 等 APT 组织相似。Andariel 以使用 MeshAgent 来维护入侵后的访问权限而闻名,而 Lazarus 则广泛使用 SOCKs 代理和隧道工具以及自定义恶意软件来创建用于二次访问和数据泄露的通道。LilacSquid 也同样部署了 SSF 和其他恶意软件来建立通往其远程服务器的隧道。
LilacSquid 活动凸显了经验丰富的 APT 参与者所构成的持续且不断演变的威胁。通过利用开源工具和定制恶意软件的组合,LilacSquid 成功渗透并长期保持对全球各种组织的访问。
用于检测 LilacSquid 的 PurpleInk 感染的 IoC:
紫色墨水: 2eb9c6722139e821c2fe8314b356880be70f3d19d8d2ba530adc9f466ffc67d8
网络 IOC
67[.]213[.]221[.]6
192[.]145[.]127[.]190
45[.]9[.]251[.]14
199[.]229[.]250[.]142
参考链接:https://thecyberexpress.com/new-data-theft-campaign-of-lilacsquid-apt/
【关键词】网络安全 专业入门 学习资料, 掌握网络安全技能!
原文始发于微信公众号(安全客):APT组织“LilacSquid”在行动:窃取亚洲、欧洲、美国多个关键行业数据
