三年后，新的挪威网络间谍组织被发现

信息安全研究人员今天披露了一个此前不为人知的网络犯罪组织，该组织已经潜伏了三年，其行为就像金正恩监管下的一些更危险的网络坏蛋.

Cisco Talos在观察到美国、欧洲和亚洲的多个组织受到攻击后，一直在调查这个专注于间谍活动的组织，他们称之为LilacSquid.

Talos团队已经在一家软件公司(美国)、一家石油和天然气行业组织(欧洲)和一家制药企业(亚洲)目睹了至少三次成功的入侵.

El Reg询问了有关这些攻击的细节，Cisco Talos的威胁研究员Asheer Malhotra表示，所有形式的敏感文件都在攻击者的范围内，他们可能会在很长一段时间内不被发现.

他说：“LilacSquid试图窃取演员感兴趣的数据-这些数据可能是特定于受害者类型的，范围可能从与任何知识产权、项目、财务等有关的信息.

”这种妥协的目的是在不被发现的情况下尽可能长时间地在雷达下飞行.

如果组织未能监控和阻止其环境中的未经授权的活动，像LilacSquid这样的APT操作可能会在数年内不被发现.

研究人员表示，LilacSquid的商业手法与其他朝鲜政府支持的组织有一些相似之处，如Andariel及其母公司Lazarus，但并没有坚定地将该组织归因于这个隐士国家.

朝鲜以通过网络犯罪创造收入的努力而闻名-这是近年来其行动的重点，涉及的策略包括在美国科技公司从事合法的远程工作，以及部署全面的勒索软件攻击.

虽然它通常被认为是西方四个主要对手国家中最不成熟的，但它在其他领域仍有能力，如网络间谍和数据窃取.

正如Lazarus近年来证明的那样，它有能力实施高级供应链攻击，包括3CX和X_Trader.

Malhotra表示，LilacSquid和更老牌的Nork集团的相似之处很大程度上在于同时使用开源的两用工具和定制的恶意软件来建立对一台机器的多个访问流.

LilacSquid被发现在危及受害者的安全后放弃了MeshAgent--一款远程控制桌面会话的应用程序.

同样的软件也被Andariel反复使用，Andariel是一个以勒索软件努力而闻名的组织.

塔罗斯在博客中写道，新发现的组织还广泛使用代理和隧道工具，如安全套接字漏斗(SSF)-Lazarus也是如此.

Lazarus是Kim最先进的网络犯罪组织，从事技术要求更高的工作，比如供应链攻击.

它还以部署定制恶意软件而闻名，LilacSquid也是如此，它使用Talos所说的PurpleInk发现了这一点--QuasarRAT是一个“高度定制的QuasarRAT版本”.

尽管QuasarRAT至少从2014年就出现了，但PurpleInk变体自2021年以来一直由LilacSquid传播，自那以后一直在不断发展.

Talos说它是一个“高度迷惑”的、“高度通用的植入”，其早期版本包括通过C2读取和过滤指定文件、在主机上启动应用程序等功能收集有关主机及其驱动器、进程枚举、文件和目录删除、启动远程外壳等的各种信息.

“QuasarRAT的使用可用于威胁参与者的两个目的.

首先，可以使用现成的、随时可用的恶意软件系列来相对快速地实施其活动.

使用现有的恶意软件系列还可以帮助威胁参与者减少他们的开发工作，同时阻止其归因于恶意软件.

Malhotra说.

第二，自定义和严重混淆现有的恶意软件系列，如QuasarRAT，使威胁参与者能够减轻传统的检测机制，如基于文件签名的检测.

在2023年和2024年部署的较新版本具有更高的条带性D，并且只包含少量特征，很可能是逃避检测的一种手段.

PurpleInk仍然可以关闭与代理服务器的连接，从连接的代理发送和接收数据，最重要的是，创建一个反向外壳，可以用来执行以前的功能，如文件管理.

Talos的研究人员说：“攻击者经常剥离、添加和缝合功能，以减少他们在受感染系统上的植入足迹，从而避免被检测，或者改进他们的实现来删除多余的功能.

PurpleInk恶意软件跨两个主要的LilacSquid感染链使用--利用Web应用程序中的漏洞和滥用合法的远程桌面协议(RDP)凭据.

当Web应用程序受到攻击时，然后，LilacSquid运行一个脚本，在系统上部署其他植入物之前执行MeshAgent.

通常，当被泄露的RDP凭据被滥用时，感染链会略有变化.

研究人员推测，LilacSquid要么遵循之前的常规部署MeshAgent，然后部署其他植入物，如PurpleInk和SSF，要么部署了一个不同的加载器，研究人员称之为InkLoader.

根据Talos的情报，InkLoader只被看到过部署PurpleInk，但它很可能也能够部署其他恶意软件.

Talos观察到，只有当LilacSquid通过利用窃取的凭据通过RDP成功地创建和维护远程会话时，InkLoader才会与PurpleInk一起部署InkLoader将这些人工制品复制到磁盘上所需的目录中，然后将InkLoader注册为服务，然后开始部署InkLoader，进而部署PurpleInk.

Malhotra表示，LilacSquid对这两种感染方法都没有偏好--“他们使用任何让他们进入企业的方法.”.