A Ameaça Desconhecida Utiliza Ferramentas Semelhantes às Usadas por Grupos de APT da Coreia do Norte, Segundo a Cisco Talos

Pesquisadores identificaram um novo agente de ameaça persistente avançada ligado a ataques de exfiltração de dados que abrangem diversos setores nos Estados Unidos e na Europa. Algumas táticas associadas ao LilacSquid se sobrepõem com aquelas usadas pelo Andariel, um agente de ameaça norte-coreano que atua como um sub-cluster dentro do grupo Lazarus.

De acordo com o Cisco Talos, os métodos do grupo para comprometimento inicial incluem explorar vulnerabilidades conhecidas publicamente para invadir servidores de aplicativos expostos à Internet, bem como usar credenciais roubadas do protocolo de desktop remoto. Uma vez que o sistema é comprometido, o LilacSquid lança várias ferramentas de código aberto, como o MeshAgent de gerenciamento remoto de código aberto, para se conectar a um servidor de comando e controle controlado pelo atacante e realizar atividades de reconhecimento. O LilacSquid também usa o InkLoader, um carregador baseado em .NET, para ler de um caminho de arquivo codificado no disco e descriptografar conteúdos.

O MeshAgent e o InkLoader são usados para inserir malware personalizado, como o PurpleInk, uma versão personalizada do trojan QuasarRAT. O PurpleInk é tanto altamente obfuscado quanto versátil, e pode executar novos aplicativos, realizar operações de arquivo, coletar informações do sistema, enumerar diretórios e processos em execução, lançar um shell remoto e se conectar a um endereço remoto específico especificado por um servidor de comando e controle.

O LilacSquid também empregou o Secure Socket Funneling (SSF) para estabelecer túneis para servidores remotos.

As táticas, técnicas e procedimentos usados pelo LilacSquid são semelhantes às dos grupos de APTs norte-coreanos. O Andariel é conhecido por usar o MeshAgent para manter o acesso pós-comprometimento. O Lazarus emprega extensivamente proxies SOCKs e ferramentas de túnel, bem como malware personalizado para acesso secundário e exfiltração de dados.

O LilacSquid, que está operando desde pelo menos 2021, tem foco em estabelecer acesso de longo prazo a organizações comprometidas para roubar dados valiosos para servidores controlados pelo atacante, disseram pesquisadores do Cisco Talos. As organizações alvo incluem empresas de tecnologia da informação que desenvolvem software para os setores de pesquisa e industrial nos EUA, empresas de energia na Europa e o setor farmacêutico na Ásia.