LilacSquid tem como alvo os setores de TI, energia e farmacêutico
![ciscoc](https://i1.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiP-0tPvdVxLiudeZNkhmcVrIIDHzugII2J9cwrkd9Jgv1cJ4moSVi1w2Dz8eiMiPNZRkRS82-Vnx1tRkM9eI_NyyFn_onTi9ucCeGXr2pswPjtTyTDnF080T5zM7g5ArztT7Lc1w6Ipo5ywQNCtCJVZtg2tgOgYczSgxRjUb_FHhB6UHil0uKaAf0qVrFo/s728-rw-e365/ciscoc.png?w=780&resize=780,470&ssl=1)
![ciscoc](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiP-0tPvdVxLiudeZNkhmcVrIIDHzugII2J9cwrkd9Jgv1cJ4moSVi1w2Dz8eiMiPNZRkRS82-Vnx1tRkM9eI_NyyFn_onTi9ucCeGXr2pswPjtTyTDnF080T5zM7g5ArztT7Lc1w6Ipo5ywQNCtCJVZtg2tgOgYczSgxRjUb_FHhB6UHil0uKaAf0qVrFo/s728-rw-e365/ciscoc.png)
Um ator de ameaças focado em espionagem cibernética anteriormente não documentado chamado Lilás Lula tem sido associado a ataques direcionados abrangendo vários setores nos Estados Unidos (EUA), Europa e Ásia como parte de uma campanha de roubo de dados desde pelo menos 2021.
“A campanha visa estabelecer acesso de longo prazo às organizações de vítimas comprometidas para permitir que o LilacSquid desvie dados de interesse para servidores controlados pelo invasor”, disse o pesquisador do Cisco Talos, Asheer Malhotra, em um novo relatório técnico publicado hoje.
Os alvos incluem organizações de tecnologias de informação que criam software program para os setores industrial e de investigação nos EUA, empresas de energia na Europa e o setor farmacêutico na Ásia, indicando uma ampla pegada de vitimologia.
Sabe-se que as cadeias de ataque exploram vulnerabilidades publicamente conhecidas para violar servidores de aplicativos voltados para a Web ou usam credenciais de protocolo de desktop remoto (RDP) comprometidas para fornecer uma combinação de ferramentas de código aberto e malware personalizado.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuUUskkMH9dUT3LF77_Q_irGuaE4LGjp-Am2Ls_UzGJ5EBnZHfuFiSvKs4OPE5KmfedBHcuZZVHS4Bh48UJx8brpwtg6Vr2Gepbaw-lGMIm9HjUhyphenhyphen2W5DVm5-ymwPS691Ie32TrCqFIv6SxNRA-jOKCKZrOB5dV7BfL0zVAhOO0neNkP9yv-XePBU1hN_0/s728-e365/wing-d.png)
A característica mais distintiva da campanha é o uso de uma ferramenta de gerenciamento remoto de código aberto chamada MeshAgent, que serve como um canal para entregar uma versão personalizada do Quasar RAT com o codinome PurpleInk.
Procedimentos alternativos de infecção que aproveitam credenciais RDP comprometidas exibem um modus operandi ligeiramente diferente, em que os atores da ameaça optam por implantar o MeshAgent ou descartar um carregador baseado em .NET chamado InkLoader para descartar o PurpleInk.
![cisco](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjnrslJutILn5-rFJ-yIIPk9iOOEelPYn72r0zy6kHGher83YB8IUVPFizPhBufy-NCKldpqSPlufgh27Ml8L5hh_Mh29cVp8yW0PikALmxR9ZpK-lhfeW8wcrPOzho3bUXAJaCCQ7TGo_-OZMbeyo80AKlwnPzUa4LmLuED2l_Ie_cGQyZnU_w_xddC4pF/s728-rw-e365/cisco.png)
“Um login bem-sucedido by way of RDP leva ao obtain do InkLoader e do PurpleInk, copiando esses artefatos nos diretórios desejados no disco e ao subsequente registro do InkLoader como um serviço que é então iniciado para implantar o InkLoader e, por sua vez, o PurpleInk”, disse Malhotra.
PurpleInk, mantido ativamente pelo LilacSquid desde 2021, é altamente ofuscado e versátil, permitindo executar novos aplicativos, realizar operações de arquivo, obter informações do sistema, enumerar diretórios e processos, iniciar um shell remoto e conectar-se a um endereço remoto específico fornecido por um servidor de comando e controle (C2).
Talos disse que identificou outra ferramenta personalizada chamada InkBox que teria sido usada pelo adversário para implantar o PurpleInk antes do InkLoader.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_WRs2jRYPNRPdVnIJ52g0Zo3TY_c0FSwk8ZZN085hqm-nXig4b7WIZCpqdHexadU4EmZ402vX1EghcAxIZGa9lwLkWAPPYzPbg1gc5UZCbvTtOHQ3ozwiQAgJ1ahKFoOp8SZl-JN8_URGwiu9aTe5U2wiVHGEetM-S7kKkmgPMNdL_83d5HTJrLm7iBp6/s728-e365/cis-d.png)
A incorporação do MeshAgent como parte de seus manuais pós-compromisso é digna de nota em parte devido ao fato de ser uma tática adotada anteriormente por um ator de ameaça norte-coreano chamado Andariel, um subgrupo do infame Grupo Lazarus, em ataques contra a Coreia do Sul. empresas.
Outra sobreposição diz respeito ao uso de ferramentas de tunelamento para manter o acesso secundário, com a LilacSquid implantando Safe Socket Funneling (SSF) para criar um canal de comunicação para sua infraestrutura.
“As múltiplas táticas, técnicas, ferramentas e procedimentos (TTPs) utilizados nesta campanha apresentam alguma sobreposição com grupos APT norte-coreanos, como Andariel e seu grupo guarda-chuva, Lazarus”, disse Malhotra.