Компания Cisco Talos обнаружила новую подозрительную кампанию по краже данных, действующую как минимум с 2021 года и приписываемую злоумышленнику под названием «LilacSquid».
LilacSquid APT
Кампания использует MeshAgent, инструмент удаленного управления с открытым исходным кодом, и адаптированную версию QuasarRAT под названием «PurpleInk» в качестве основных имплантатов после успешной компрометации уязвимых серверов приложений, открытых для доступа в Интернет. Кампания использует уязвимости в публичных серверах приложений и скомпрометированные учетные данные протокола удаленного рабочего стола (RDP) для организации развертывания различных инструментов с открытым исходным кодом, таких как MeshAgent и SSF, а также специализированных вредоносных программ, таких как «PurpleInk» и два загрузчика вредоносных программ под названием «InkBox» и «InkLoader». Кампания направлена на получение долгосрочного доступа к взломанным организациям-жертвам, чтобы LilacSquid мог перекачивать интересующие данные на контролируемые злоумышленниками серверы.
Виктимология LilacSquid включает в себя разнообразный набор жертв, состоящий из организаций, работающих в сфере информационных технологий и создающих программное обеспечение для исследовательского и промышленного секторов в США, организаций энергетического сектора в Европе и фармацевтического сектора в Азии, что указывает на то, что злоумышленник может не зависеть от отраслевой вертикали и пытаться похитить данные из различных источников.
Indicators of Compromise
IPv4
- 192.145.127.190
- 199.229.250.142
- 45.9.251.14
- 67.213.221.6
SHA256
- 2eb9c6722139e821c2fe8314b356880be70f3d19d8d2ba530adc9f466ffc67d8
