揭露LilacSquid：一个针对多行业的APT攻击活动

研究人员发现了一项新的数据盗窃活动，该活动至少自2021年开始活跃，由名为“LilacSquid”的高级持续性威胁(APT)行为者发起。

思科Talos的研究人员观察到，此次攻击活动针对的是多种行业，包括美国的IT组织、欧洲的能源公司和亚洲的制药公司。受害者范围如此广泛表明，LilacSquid不分行业，旨在窃取各个行业的数据。

LilacSquid的攻击活动在入侵暴露在互联网上的易受攻击的应用服务器后，采用了开源远程管理工具MeshAgent和QuasarRAT的定制版本（研究人员称之为“PurpleInk”）作为主要植入物。

LilacSquid利用面向公众的应用程序服务器漏洞和受损的远程桌面协议(RDP)凭据来部署一系列开源工具和定制恶意软件，包括MeshAgent、SSF、PurpleInk以及加载器InkBox和InkLoader。

Talos高度确信，LilacSquid至少自2021年以来一直活跃，专注于建立对受感染组织的长期访问权限，以将有价值的数据窃取到攻击者控制的服务器中。

该活动成功攻击了亚洲、欧洲和美国的制药、石油天然气和技术等各个领域的实体。

LilacSquid使用两种主要感染链：利用易受攻击的Web应用程序和使用受损的RDP凭据。

一旦系统通过利用面向互联网的设备上漏洞而受到攻击，LilacSquid就会部署多种访问工具，包括MeshAgent、SSF、InkLoader和PurpleInk。

使用bitsadmin实用程序下载的MeshAgent连接到其命令和控制(C2)服务器，进行侦察并激活其他植入物。

另一方面，当RDP凭据被盗用时，就会使用基于.NET的恶意软件加载程序InkLoader。它在重新启动后仍会持续存在并执行PurpleInk，其感染链专门针对远程桌面会话。

PurpleInk源自QuasarRAT，自2021年以来进行了广泛定制。

它具有强大的远程访问功能，包括进程枚举、文件操作、系统信息收集、远程shell访问和代理服务器通信。PurpleInk的不同变体具有不同的功能，一些精简版本保留了核心功能以逃避检测。

InkBox是LilacSquid使用的较旧的加载程序，它从磁盘上的硬编码文件路径读取，解密其内容并运行PurpleInk。自2023年以来，LilacSquid已将感染链模块化，PurpleInk通过InkLoader作为单独的进程运行。

在利用后，MeshAgent会激活其他工具，如SSF和PurpleInk。配置了MSH文件的MeshAgent允许操作员广泛控制受感染的设备、管理文件、查看和控制桌面以及收集设备信息。

此次攻击活动中使用的战术、技术和程序(TTP)与朝鲜的Andariel和Lazarus等APT组织相似。Andariel以使用MeshAgent来维护入侵后的访问权限而闻名，而Lazarus则广泛使用SOCKs代理和隧道工具以及自定义恶意软件来创建用于二次访问和数据泄露的通道。LilacSquid也同样部署了SSF和其他恶意软件来建立通往其远程服务器的隧道。

LilacSquid活动凸显了经验丰富的APT参与者所构成的持续且不断演变的威胁。通过利用开源工具和定制恶意软件的组合，LilacSquid成功渗透并长期保持对全球各种组织的访问。

用于检测LilacSquid的PurpleInk感染的IoC：

紫色墨水：2eb9c6722139e821c2fe8314b356880be70f3d19d8d2ba530adc9f466ffc67d8

网络IOC

67[.]213[.]221[.]6

192[.]145[.]127[.]190

45[.]9[.]251[.]14

199[.]229[.]250[.]142

#