LilacSquid
A Cisco Talos egy új, legalább 2021 óta aktív, feltételezett adatlopási kampányt hoz nyilvánosságra, amelyet egy fejlett, tartós fenyegetésnek (APT) tulajdonítanak, amelyet LilacSquid-nek neveztek.
A LilacSquid viktimológiája változatos áldozatokból áll, amelyek az Egyesült Államokban a kutatási és ipari szektor számára szoftvereket gyártó informatikai szervezetekből, Európában az energetikai szektorban működő szervezetekből és Ázsiában a gyógyszeripari szektorban működő szervezetekből állnak, ami azt jelzi, hogy a fenyegető szereplő (TA) agnosztikus lehet az iparági vertikumokkal szemben, és különböző forrásokból próbál adatokat lopni.
A kampány a MeshAgent, egy nyílt forráskódú távmenedzsment eszközt és a QuasarRAT általunk PurpleInk-nek nevezett testreszabott változatát használja elsődleges implantátumként, miután sikeresen veszélyeztette az internetre kitett sebezhető alkalmazásszervereket.
Ez a kampány a nyilvános alkalmazáskiszolgálók sebezhetőségeit és a távoli asztali protokoll (RDP) hitelesítő adatait használja ki a különböző nyílt forráskódú eszközök, például a MeshAgent és az SSF, valamint a testreszabott rosszindulatú programok, például a PurpleInk és az általuk InkBox-nak és InkLoader-nek nevezett két rosszindulatú program betöltője telepítésének megszervezéséhez.
A kampány célja, hogy hosszú távú hozzáférést biztosítson a veszélyeztetett áldozati szervezetekhez, hogy a LilacSquid lehetővé tegye az érdeklődésre számot tartó adatok kiszivattyúzását a támadók által ellenőrzött szerverekre.