Bilgisayar korsanları, değerli verilere sahip oldukları, kritik altyapıya sahip oldukları ve sıklıkla çeşitli sektörlerden hassas bilgilere erişime sahip oldukları için BT endüstrilerini hedef alıyor.
Güvenliği ihlal eden BT şirketleri, bilgisayar korsanlarına casusluk, mali kazanç ve temel hizmetlerin kesintiye uğraması için yüksek etkili fırsatlar sağlayabilir.
Son zamanlarda Cisco Talos’taki siber güvenlik araştırmacıları, LilacSquid korsanlarının gizli verileri toplamak için BT endüstrilerine aktif olarak saldırdığını tespit etti.
LilacSquid Hackerları BT Sektörlerine Saldırıyor
Talos, “LilacSquid” APT grubunun en az 2021’den beri bir veri hırsızlığı kampanyası yürüttüğünden ve Asya, Avrupa ve ABD’deki ilaç, petrol, gaz ve teknoloji endüstrilerindeki hedeflerden başarıyla ödün verdiğinden emin
İlk erişim, güvenlik açıklarından ve çalınan RDP kimlik bilgilerinden yararlandı. Uzlaşma sonrasında LilacSquid, QuasarRAT’ın özelleştirilmiş bir “PurpleInk” çeşidi olan MeshAgent uzaktan erişim aracını ve Lazarus ve Andariel gibi Kuzey Koreli grupların TTP’leriyle örtüşen SSF gibi açık kaynaklı proxy araçlarını kullandı.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Kampanya, veri hırsızlığı için uzun süreli erişim sağlıyor ve önceki tedarik zinciri uzlaşmaları, bu tür kalıcı, gelişmiş tehditlerden kaynaklanan riskleri vurguluyor.
LilacSquid, enfeksiyonları başlatmak için iki ana yol kullanır: –
- Savunmasız web uygulamalarını hacklemek
- RDP kimlik bilgilerinin çalınması
İhlalden sonra uzaktan erişim için MeshAgent, güvenli tünelleme için SSF ve özelleştirilmiş kötü amaçlı yazılım InkLoader, PurpleInk RAT vb. programları kullanırlar.
Uygulamanın kullanımı sırasında MeshAgent, diğer implantların teslimine olanak tanıyan ilk uzlaşma noktası görevi görür.
Saldırıya uğramış RDP oturum açma bilgilerini kullanırken yeniden başlatmalarda InkLoader’ı ilk sıraya yerleştirerek PurpleInk’i dağıtmadan önce kalıcılığı ayarladılar.
Bu katmanlı yöntem, APT’nin kurbanlar arasında bilgi çalmak için kullandığı birden fazla yinelenen yaklaşım ve teknik rotası yaratıyor.
.webp)
PurpleInk, ilk kez 2021’de görülen dinamik bir QuasarRAT çeşidi olan LilacSquid’in amiral gemisi kötü amaçlı yazılımıdır.
Bu fare oldukça kılık değiştirmiş ve işlemleri sonlandıracak, kod yürütecek, dosyaları çalacak, sistem ayrıntılarını toplayacak ve aktarma görevi gören etkilenen ana bilgisayarlar üzerinden bağlantıları geçirecek kadar esnektir.
Bununla birlikte, 2023 ve 2024 yıllarındaki son örnekler daha hafiftir ve muhtemelen gizlilik veya tespitten kaçınmak adına dosya yönetimi gibi işlevlerden fedakarlık edilmiştir.
Bu kötü amaçlı yazılımın temel özellikleri, temel ters kabuk ve proxy yeteneği aracılığıyla korunmuş olup, tehdit aktörlerinin kötü amaçlı yazılımlarının işlevselliğini operasyonel ihtiyaçlara göre yinelemeli olarak nasıl uyarladıklarını göstermektedir.
LilacSquid, çeşitli kötü amaçlı yazılım bileşenlerinden oluşan çok aşamalı bir enfeksiyon zinciri kullanır. InkBox, PurpleInk arka kapı verilerinin şifresini çözen ve yürüten bir yükleyicidir.
Farklı bir yöntem, PurpleInk’i 2023’ten bu yana ayrı bir süreçte çalıştıran InkLoader’ı içeriyor. MeshAgent, kurban tanımlayıcıları ve C2 adreslerini içeren yapılandırma dosyalarını kullanarak dağıtım için ilk dayanak noktası olarak yaygın olarak kullanılan açık kaynaklı bir uzaktan yönetim aracıdır.
MeshAgent, ele geçirildikten sonra SSF veya PurpleInk gibi kötü amaçlı yazılımların virüslü sistemlere daha fazla dağıtılmasına olanak tanıyarak APT grubunun uzaktan erişim için geniş kapsamlı yeteneklere sahip olmasına olanak tanır.
Bu modüler yaklaşım, LilacSquid’in etkinliklerini gizlerken yedek erişim noktaları oluşturmasına olanak tanır.
IOC’ler
Mor Mürekkep:
- 2eb9c6722139e821c2fe8314b356880be70f3d19d8d2ba530adc9f466ffc67d8
Ağ IOC’leri:
- 67[.]213[.]221[.]6
- 192[.]145[.]127[.]190
- 45[.]9[.]251[.]14
- 199[.]229[.]250[.]142
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.