Daha önce belgelenmemiş siber casusluk odaklı bir tehdit aktörünün adı LeylakKalamar En az 2021’den bu yana veri hırsızlığı kampanyasının bir parçası olarak Amerika Birleşik Devletleri (ABD), Avrupa ve Asya’daki çeşitli sektörleri kapsayan hedefli saldırılarla bağlantılıdır.
Cisco Talos araştırmacısı Asheer Malhotra, “Kampanya, LilacSquid’in ilgilenilen verileri saldırganların kontrolündeki sunuculara aktarabilmesini sağlamak için ele geçirilen mağdur kuruluşlara uzun vadeli erişim sağlamaya yöneliktir.” söz konusu bugün yayınlanan yeni bir teknik raporda.
Hedefler arasında ABD’deki araştırma ve endüstriyel sektörler için yazılım geliştiren bilgi teknolojisi kuruluşları, Avrupa’daki enerji şirketleri ve Asya’daki ilaç sektörü yer alıyor; bu da geniş bir mağduriyet ayak izine işaret ediyor.
Saldırı zincirlerinin, internete yönelik uygulama sunucularını ihlal etmek için kamuya açık olarak bilinen güvenlik açıklarından yararlandığı veya açık kaynaklı araçlar ve özel kötü amaçlı yazılımların bir karışımını sunmak için tehlikeye atılmış uzak masaüstü protokolü (RDP) kimlik bilgilerini kullandığı bilinmektedir.
Kampanyanın en belirgin özelliği, MeshAgent adlı açık kaynaklı bir uzaktan yönetim aracının kullanılmasıdır. Kuasar RAT kod adı PurpleInk.
Güvenliği ihlal edilmiş RDP kimlik bilgilerinden yararlanan alternatif bulaşma prosedürleri biraz farklı bir işleyiş tarzı sergiliyor; burada tehdit aktörleri PurpleInk’i bırakmak için MeshAgent’ı dağıtmayı veya InkLoader adlı .NET tabanlı bir yükleyiciyi bırakmayı seçiyor.
Malhotra, “RDP aracılığıyla başarılı bir oturum açma, InkLoader ve PurpleInk’in indirilmesine, bu yapıtların diskteki istenen dizinlere kopyalanmasına ve daha sonra InkLoader’ın bir hizmet olarak kaydedilmesine ve daha sonra InkLoader’ı ve PurpleInk’i dağıtmaya başlamasına yol açar” dedi.
2021’den bu yana LilacSquid tarafından aktif olarak bakımı yapılan PurpleInk, hem oldukça karmaşık hem de çok yönlü olup, yeni uygulamaları çalıştırmasına, dosya işlemlerini gerçekleştirmesine, sistem bilgilerini almasına, dizinleri ve işlemleri numaralandırmasına, uzak bir kabuk başlatmasına ve tarafından sağlanan belirli bir uzak adrese bağlanmasına olanak tanır. bir komuta ve kontrol (C2) sunucusu.
Talos, düşman tarafından InkLoader’dan önce PurpleInk’i dağıtmak için kullanıldığı söylenen InkBox adında başka bir özel araç tespit ettiğini söyledi.
MeshAgent’ın uzlaşma sonrası taktik kitaplarının bir parçası olarak dahil edilmesi, kısmen bunun daha önce Kuzey Koreli bir tehdit aktörü tarafından benimsenen bir taktik olması nedeniyle dikkate değerdir. AndarielKötü şöhretli Lazarus Grubunun bir alt kümesi olan Güney Koreli şirketleri hedef alan saldırılar.
Başka bir örtüşme, LilacSquid’in Güvenli Soket Dönüşüm Hunisi’ni dağıtmasıyla ikincil erişimi sürdürmek için tünel oluşturma araçlarının kullanılmasıyla ilgilidir (SSF) altyapısına bir iletişim kanalı oluşturmak.
Malhotra, “Bu kampanyada kullanılan çoklu taktikler, teknikler, araçlar ve prosedürler (TTP’ler), Andariel ve onun ana şemsiye grubu Lazarus gibi Kuzey Koreli APT gruplarıyla bazı örtüşmeler taşıyor” dedi.
