Araştırmacılar, en az 2021’den beri aktif olan ve “LilacSquid” adlı gelişmiş bir kalıcı tehdit (APT) aktörüne atfedilen yeni bir veri hırsızlığı kampanyası keşfettiler.
Cisco Talos’taki araştırmacılar tarafından gözlemlenen bu kampanya, Amerika Birleşik Devletleri’ndeki BT organizasyonları, Avrupa’daki enerji şirketleri ve Asya’daki ilaç firmaları dahil olmak üzere çok çeşitli sektörleri hedef alıyor. Bu geniş mağduroloji, LilacSquid’in çeşitli sektörlerden veri çalmayı hedefleyerek sektör dikeylerinden bağımsız olduğunu gösteriyor.
Açık Kaynak Araçlarının ve Özelleştirilmiş Kötü Amaçlı Yazılımların Kullanımı
LilacSquid’in kampanyası, internete açık olan savunmasız uygulama sunucularını tehlikeye attıktan sonra birincil implantlar olarak açık kaynaklı bir uzaktan yönetim aracı olan MeshAgent’ı ve araştırmacıların “PurpleInk” olarak adlandırdığı QuasarRAT’ın özelleştirilmiş bir versiyonunu kullanıyor.
LilacSquid, MeshAgent, SSF, PurpleInk ve InkBox ve InkLoader yükleyicileri de dahil olmak üzere çeşitli açık kaynaklı araçları ve özelleştirilmiş kötü amaçlı yazılımları dağıtmak için halka açık uygulama sunucusu güvenlik açıklarından ve tehlikeye atılmış uzak masaüstü protokolü (RDP) kimlik bilgilerinden yararlanır.
LilacSquid’in Kalıcılık Yoluyla Veri Hırsızlığına Uzun Süreli Erişimi
Talos, LilacSquid’in en az 2021’den beri aktif olduğunu ve değerli verileri saldırganların kontrolündeki sunuculara aktarmak için güvenliği ihlal edilmiş kuruluşlara uzun vadeli erişim sağlamaya odaklandığını büyük bir güvenle değerlendirdi.
Kampanya, Asya, Avrupa ve Amerika Birleşik Devletleri’ndeki ilaç, petrol, gaz ve teknoloji gibi çeşitli sektörlerdeki kuruluşların güvenliğini başarıyla sağladı.
LilacSquid iki ana enfeksiyon zinciri kullanıyor: savunmasız web uygulamalarından yararlanmak ve güvenliği ihlal edilmiş RDP kimlik bilgilerini kullanmak.
İnternete bağlı cihazlardaki güvenlik açıklarından yararlanılarak bir sistemin güvenliği ihlal edildiğinde LilacSquid, MeshAgent, SSF, InkLoader ve PurpleInk dahil olmak üzere birden fazla erişim aracını devreye alır.
Bitsadmin yardımcı programı kullanılarak indirilen MeshAgent, komuta ve kontrol (C2) sunucusuna bağlanır, keşif gerçekleştirir ve diğer implantları etkinleştirir.
Öte yandan, .NET tabanlı bir kötü amaçlı yazılım yükleyicisi olan InkLoader, RDP kimlik bilgilerinin güvenliği ihlal edildiğinde kullanılır. Yeniden başlatmalarda devam eder ve uzak masaüstü oturumları için uyarlanmış enfeksiyon zinciriyle PurpleInk’i çalıştırır.
LilacSquid’in PurpleInk İmplantı
QuasarRAT’tan türetilen PurpleInk, 2021’den bu yana kapsamlı bir şekilde özelleştirildi.
“Her ne kadar QuasarRAT en azından o zamandan beri tehdit aktörlerinin kullanımına açık olsa da 2014PurpleInk’in 2021’den itibaren aktif olarak geliştirildiğini ve ana kötü amaçlı yazılım ailesinden ayrı olarak işlevlerini geliştirmeye devam ettiğini gözlemledik.”
Süreç numaralandırma, dosya işleme, sistem bilgisi toplama, uzaktan kabuk erişimi ve proxy sunucu iletişimi dahil olmak üzere güçlü uzaktan erişim yeteneklerine sahiptir. PurpleInk’in farklı çeşitleri, farklı işlevler sergiliyor; bazı sadeleştirilmiş versiyonlar, tespitten kaçınmak için temel yetenekleri koruyor.
LilacSquid tarafından kullanılan eski bir yükleyici olan InkBox, diskteki sabit kodlu bir dosya yolunu okur, içeriğinin şifresini çözer ve PurpleInk’i çalıştırır. LilacSquid, 2023’ten bu yana enfeksiyon zincirini modüler hale getirdi ve PurpleInk, InkLoader aracılığıyla ayrı bir süreç olarak çalışıyor.
Kullanım sonrasında MeshAgent, SSF ve PurpleInk gibi diğer araçları etkinleştirir. MSH dosyalarıyla yapılandırılan MeshAgent, operatörlerin virüslü cihazları kapsamlı bir şekilde kontrol etmesine, dosyaları yönetmesine, masaüstlerini görüntülemesine ve kontrol etmesine ve cihaz bilgilerini toplamasına olanak tanır.
Kuzey Kore APT Gruplarıyla paralellikler
Bu kampanyada kullanılan taktikler, teknikler ve prosedürler (TTP’ler), Andariel ve Lazarus gibi Kuzey Koreli APT gruplarınınkilerle benzerlikler göstermektedir. Andariel, güvenlik ihlali sonrası erişimi sürdürmek için MeshAgent’ı kullanmasıyla tanınırken Lazarus, ikincil erişim ve veri sızıntısı için kanallar oluşturmak amacıyla özel kötü amaçlı yazılımların yanı sıra SOCK’un proxy ve tünel oluşturma araçlarını da kapsamlı bir şekilde kullanıyor. LilacSquid, benzer şekilde uzak sunucularına tüneller kurmak için SSF ve diğer kötü amaçlı yazılımları kullandı.
LilacSquid kampanyası, sofistike APT aktörlerinin oluşturduğu kalıcı ve gelişen tehdidi vurguluyor. LilacSquid, açık kaynaklı araçlar ve özelleştirilmiş kötü amaçlı yazılımların bir kombinasyonundan yararlanarak dünya çapındaki çeşitli kuruluşlara başarılı bir şekilde sızıyor ve uzun vadeli erişimi sürdürüyor.
LilacSquid’in PurpleInk enfeksiyonunu tespit etmek için IoC’ler:
Mor Mürekkep: 2eb9c6722139e821c2fe8314b356880be70f3d19d8d2ba530adc9f466ffc67d8
Ağ IOC’leri
67[.]213[.]221[.]6
192[.]145[.]127[.]190
45[.]9[.]251[.]14
199[.]229[.]250[.]142