La Amenaza de LilacSquid
Resumen de la Campaña de Ciberataques
Los investigadores de Cisco Talos han identificado que LilacSquid, un grupo avanzado de amenazas persistentes (APT), ha estado atacando activamente las industrias de TI desde 2021.
Este grupo ha comprometido con éxito sectores farmacéuticos, petroleros, gasíferos y tecnológicos en Asia, Europa y EE. UU., con el objetivo de recopilar datos confidenciales.
Estrategias de Infección:
Las infecciones se inician a través de hackeo de aplicaciones web vulnerables y el uso de credenciales RDP robadas. Los atacantes usan MeshAgent para el acceso inicial, luego implementan PurpleInk y otros programas maliciosos, estableciendo persistencia y múltiples rutas de acceso para la exfiltración continua de datos.
PurpleInk es el malware principal de LilacSquid, capaz de matar procesos, ejecutar código, robar archivos y actuar como proxy. Las versiones recientes han reducido funciones para aumentar el sigilo. La cadena de infección incluye componentes como InkBox y InkLoader para ejecutar cargas útiles de PurpleInk.
Definiciones:
Las credenciales RDP se refieren a la información de autenticación utilizada para acceder a un sistema remoto a través del Protocolo de Escritorio Remoto (RDP). Este protocolo, desarrollado por Microsoft, permite a los usuarios conectarse y controlar remotamente otro equipo a través de una red.
MeshAgent es una herramienta de administración remota utilizada para controlar y gestionar dispositivos y sistemas de manera remota a través de una red. Es parte de la plataforma MeshCentral, un proyecto de código abierto desarrollado por Intel que proporciona soluciones de administración remota para dispositivos de Internet de las Cosas (IoT) y sistemas informáticos.
En términos más generales, LnkBox podría ser una herramienta o un componente específico que los atacantes utilizan para facilitar la ejecución y distribución de su malware. En este caso, parece ser un eslabón en la cadena de herramientas que se despliegan para asegurar la persistencia y permitir la exfiltración de datos una vez que el acceso inicial ha sido conseguido.
InkLoader es un componente de la cadena de infección de malware utilizado por el grupo conocido como LilacSquid. En el contexto del malware PurpleInk, InkLoader desempeña un papel crucial en la ejecución de las cargas útiles del malware.
Recomendaciones clave para reducir el riesgo:
El caso de LilacSquid ilustra cómo los ciberdelincuentes utilizan tácticas avanzadas y persistentes para comprometer sistemas críticos. La seguridad cibernética debe ser una prioridad fundamental en el mundo interconectado de hoy para proteger la información y la infraestructura esencial.
El uso de MeshAgent y la configuración de múltiples puntos de acceso permiten a LilacSquid mantener una presencia prolongada en los sistemas comprometidos, facilitando el robo de datos sin detección. La sofisticación de estos ataques destaca la necesidad de medidas de seguridad proactivas y vigilancia constante.
