.
Pesquisadores da Infosec revelaram hoje um grupo de crimes cibernéticos até então desconhecido que está à espreita há três anos e está se comportando como alguns dos vilões cibernéticos mais perigosos sob a supervisão de Kim Jong-Un.
Cisco Talos está investigando o grupo focado em espionagem que eles chamam de LilacSquid depois de observar ataques a uma variedade de organizações nos EUA, Europa e Ásia. A equipe do Talos viu pelo menos três invasões bem-sucedidas em uma empresa de software (EUA), em uma organização da indústria de petróleo e gás (Europa) e em uma empresa farmacêutica (Ásia).
O registro pediu detalhes sobre esses ataques e Asheer Malhotra, pesquisador de ameaças da Cisco Talos, disse que todos os tipos de arquivos confidenciais estavam ao alcance dos invasores, que poderiam passar despercebidos por períodos de tempo significativos.
“LilacSquid tenta roubar dados de interesse do ator – tais dados podem ser específicos do tipo de vítima e podem variar desde informações relativas a quaisquer propriedades intelectuais, projetos, finanças, etc”, disse ele.
“A intenção de tais compromissos é passar despercebido pelo maior tempo possível sem ser detectado. Operações APT como a conduzida pela LilacSquid podem passar despercebidas por anos se as organizações não conseguirem monitorar e bloquear atividades não autorizadas em seus ambientes.”
Os pesquisadores disseram que a habilidade comercial do LilacSquid tem algumas semelhanças com a de outros grupos patrocinados pelo Estado norte-coreano, como Andariel e seu pai, Lazarus, mas não chegou ao ponto de atribuir firmemente o grupo à nação eremita.
A Coreia do Norte é conhecida pelos seus esforços para gerar receitas através do crime cibernético – um foco das suas operações nos últimos anos que envolveu tácticas que vão desde trabalhar em empregos legítimos e remotos em empresas tecnológicas dos EUA até à implementação de ataques de ransomware em grande escala.
Embora seja geralmente visto como o menos sofisticado dos quatro principais países adversários do Ocidente, ainda é capaz em outras áreas, como espionagem cibernética e roubo de dados. Como a Lazarus também provou nos últimos anos, está bem equipada para realizar ataques avançados à cadeia de abastecimento, incluindo os da 3CX e da X_Trader.
Malhotra disse que as semelhanças entre o LilacSquid e os grupos mais estabelecidos da Nork residem em grande parte no uso paralelo de ferramentas de código aberto e dupla utilização com malware personalizado para estabelecer múltiplos fluxos de acesso a uma única máquina.
LilacSquid foi flagrado abandonando o MeshAgent após comprometer as vítimas – um aplicativo para controlar remotamente sessões de desktop. O mesmo software também tem sido usado repetidamente pelo Andariel, um grupo conhecido por seus esforços de ransomware.
O grupo recém-descoberto também usa extensivamente ferramentas de proxy e tunelamento, como Secure Socket Funneling (SSF) – assim como Lazarus, Talos blogou. Lazarus é o grupo de crimes cibernéticos mais avançado de Kim e está preparado para trabalhos mais exigentes tecnicamente, como ataques à cadeia de suprimentos.
Ele também é conhecido por implantar malware personalizado, assim como o LilacSquid, que foi detectado usando o que Talos chama de PurpleInk – uma “versão altamente personalizada do QuasarRAT”.
Embora o QuasarRAT exista pelo menos desde 2014, a variante PurpleInk foi espalhada pelo LilacSquid desde 2021 e tem evoluído continuamente desde então.
Talos disse que é um “implante altamente ofuscado” e “altamente versátil”, cujas versões anteriores incluíam recursos como leitura e exfiltração de arquivos especificados em C2, inicialização de aplicativos no host, coleta de várias informações sobre o host e suas unidades, enumeração de processos, exclusão de arquivos e diretórios, inicialização de shells remotos e muito mais.
“O uso do QuasarRAT pode servir a dois propósitos para o ator da ameaça. Em primeiro lugar, uma família de malware pronta para uso e prontamente disponível pode ser usada para operacionalizar suas campanhas de forma relativamente rápida. O uso de famílias de malware existentes também ajuda o ator da ameaça a reduzir seus esforços de desenvolvimento. e impedir a atribuição ao mesmo tempo”, disse Malhotra.
“Em segundo lugar, personalizar e ofuscar fortemente as famílias de malware existentes, como o QuasarRAT, permite que os agentes de ameaças mitiguem os mecanismos de detecção tradicionais, como as detecções baseadas em assinaturas de arquivos”.
Versões mais recentes, implantadas entre 2023 e 2024, são mais simplificadas e contêm apenas um pequeno número de recursos, provavelmente como um meio de evitar a detecção. PurpleInk ainda pode fechar conexões com servidores proxy, enviar e receber dados de proxies conectados e, principalmente, criar um shell reverso que pode ser usado para executar recursos anteriores, como gerenciamento de arquivos.
“Os adversários frequentemente removem, adicionam e unem funcionalidades para reduzir a pegada de seus implantes no sistema infectado para evitar a detecção ou para melhorar suas implementações para remover capacidades redundantes”, disseram os pesquisadores da Talos.
O malware PurpleInk é usado em ambas as cadeias de infecção primárias do LilacSquid – explorando vulnerabilidades em aplicativos da web e abusando de credenciais legítimas de protocolo de área de trabalho remota (RDP).
Quando um aplicativo web é comprometido, o LilacSquid executa um script que executa o MeshAgent antes de implantar outros implantes em um sistema.
A cadeia de infecção altera-se ligeiramente quando há abuso de credenciais RDP comprometidas. LilacSquid seguiu a rotina anterior de implantação do MeshAgent e depois de outros implantes, como PurpleInk e SSF, ou implantou um carregador diferente que os pesquisadores chamam de InkLoader, postulam os pesquisadores.
De acordo com a inteligência do Talos, o InkLoader só foi visto implantando o PurpleInk, mas provavelmente também é capaz de implantar outros malwares.
“Talos observou o LilacSquid implantar o InkLoader em conjunto com o PurpleInk somente quando eles conseguiram criar e manter sessões remotas via RDP, explorando o uso de credenciais roubadas para o host de destino”, escreveu Talos no blog.
“Um login bem-sucedido via RDP leva ao download do InkLoader e do PurpleInk, copiando esses artefatos nos diretórios desejados no disco e ao subsequente registro do InkLoader como um serviço que é então iniciado para implantar o InkLoader e, por sua vez, o PurpleInk.”
Malhotra disse que o LilacSquid não tem preferência por nenhum dos métodos de infecção – “eles usam tudo o que os leva para dentro da empresa”. ®
.
