Изследователи са свързали неизвестен досега извършител на атаки за ексфилтриране на данни, обхващащи различни сектори в САЩ и Европа. Някои тактики, свързани с LilacSquid, се припокриват с тези, използвани от Andariel – севернокорейски атакуващ конгломерат, който действа като подклъстер в рамките на Lazarus Group.
Според Cisco Talos методите на групата за първоначално компрометиране включват използване на публично известни уязвимости за пробив на сървъри за приложения, насочени към интернет, както и използване на откраднати пълномощия за протокол за отдалечен работен плот. След като системата е компрометирана, LilacSquid стартира множество инструменти с отворен код, като например инструмента с отворен код за дистанционно управление MeshAgent, за да се свърже с контролиран от нападателя сървър за управление и контрол и да извърши разузнавателни дейности. LilacSquid също така използва InkLoader, базиран на .NET програма за зареждане, за да чете от твърдо кодиран път на файл на диска и да декриптира съдържанието.
MeshAgent и InkLoader се използват за пускане на персонализиран зловреден софтуер, като PurpleInk, версия на троянеца QuasarRAT. PurpleInk е едновременно силно замаскиран и многофункционален и може да стартира нови приложения, да извършва операции с файлове, да събира системна информация, да изброява директории и работещи процеси, да стартира отдалечен шел и да се свързва с конкретен отдалечен адрес, зададен от сървър за управление и контрол.
LilacSquid също така използва Secure Socket Funneling (SSF) за създаване на тунели към отдалечени сървъри.
Тактиките, техниките и процедурите, използвани от LilacSquid, са сходни с тези на севернокорейските APT групи. Andariel е известен с това, че използва MeshAgent за поддържане на достъп след компрометиране. Lazarus широко използва инструменти за прокси и тунели на SOCKs и персонализиран зловреден софтуер за вторичен достъп и ексфилтрация на данни.
LilacSquid, който действа поне от 2021 г., се фокусира върху установяването на дългосрочен достъп до компрометирани организации за кражба на ценни данни към контролирани от атакуващите сървъри, твърдят изследователите на Cisco Talos. Целевите организации включват организации за информационни технологии, които създават софтуер за изследователския и индустриалния сектор в САЩ, енергийни компании в Европа и фармацевтичния сектор в Азия.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.