Araştırmacılar, daha önce bilinmeyen gelişmiş bir kalıcı tehdit aktörünü, Amerika Birleşik Devletleri ve Avrupa’daki çeşitli sektörleri kapsayan veri hırsızlığı saldırılarıyla ilişkilendirdi. LilacSquid ile ilgili bazı taktikler, LilacSquid tarafından kullanılanlarla örtüşmektedir. AndarielLazarus Grubu içinde bir alt kümelenme görevi gören Kuzey Koreli bir tehdit aktörü.
Cisco Talos’a göre, grubun ilk uzlaşma yöntemleri arasında, internete yönelik uygulama sunucularını ihlal etmek için kamuya açık olarak bilinen güvenlik açıklarından yararlanmanın yanı sıra çalıntı uzak masaüstü protokolü kimlik bilgilerinin kullanılması da yer alıyor. Sistemin güvenliği ihlal edildiğinde LilacSquid, saldırganın kontrol ettiği komuta ve kontrol sunucusuna bağlanmak ve keşif faaliyetlerini yürütmek için açık kaynaklı uzaktan yönetim aracı MeshAgent gibi birden fazla açık kaynak aracı başlatır. LilacSquid ayrıca diskteki sabit kodlu bir dosya yolundan okumak ve içeriğin şifresini çözmek için .NET tabanlı bir yükleyici olan InkLoader’ı kullanır.
MeshAgent ve InkLoader, PurpleInk gibi özel kötü amaçlı yazılımları düşürmek için kullanılır. QuasarRAT Truva Atı’nın özel sürümü. PurpleInk hem çok karmaşık hem de çok yönlüdür ve yeni uygulamaları çalıştırabilir, dosya işlemlerini gerçekleştirebilir, sistem bilgilerini toplayabilir, dizinleri ve çalışan işlemleri sıralayabilir, uzak bir kabuk başlatabilir ve bir komut ve kontrol sunucusu tarafından belirtilen belirli bir uzak adrese bağlanabilir.
LilacSquid ayrıca uzak sunuculara tüneller oluşturmak için Güvenli Soket Dönüşümü’nü (SSF) kullandı.
LilacSquid’in kullandığı taktikler, teknikler ve prosedürler Kuzey Kore APT gruplarınınkine benzer. Andariel, uzlaşma sonrası erişimi sürdürmek için MeshAgent’ı kullandığı biliniyor. Lazarus geniş çapta istihdam sağlıyor SOCK’un proxy ve tünel araçları ile ikincil erişim ve veri sızdırma için özel kötü amaçlı yazılımlar.
En az 20201 yılından bu yana faaliyet gösteren LilacSquid, saldırganların kontrol ettiği sunuculara değerli verileri çalmak için ele geçirilen kuruluşlara uzun vadeli erişim sağlamaya odaklanıyor. Cisco Talos araştırmacıları şunları söyledi:. Hedeflenen kuruluşlar arasında ABD’deki araştırma ve endüstriyel sektörler için yazılım geliştiren bilgi teknolojisi kuruluşları, Avrupa’daki enerji şirketleri ve Asya’daki ilaç sektörü yer alıyor.