LilacSquid 威胁行为者利用 PurpleInk 恶意软件攻击全球多个行业
一份新报告 思科 Talos 揭露了名为 LilacSquid 的威胁行为者的活动或 UAT-4820。威胁行为者利用易受攻击的 Web 应用程序或使用受损的远程桌面保护凭据,通过使用自定义 PurpleInk 恶意软件感染系统,成功入侵系统。到目前为止,美国、欧洲和亚洲各个行业的组织都受到了数据盗窃的影响,尽管可能还有更多行业受到影响但尚未确定。 LilacSquid 是谁? LilacSquid 是一个网络间谍威胁行为者,至少自 2021 年以来一直活跃。它也被称为 UAT-4820。 到目前为止,LilacSquid 瞄准的一些行业包括: 为美国研究和工业部门开发软件的 IT 组织 欧洲能源领域的组织。 亚洲制药行业的组织。 该威胁行为者使用的多种策略、技术和程序与朝鲜高级持续性威胁组织 Andariel 及其母组织 Lazarus 类似。在这些 TTP 中,使用 MeshAgent 软件在初始入侵后维持访问权限,以及广泛使用代理和隧道工具,使得 LilacSquid 可能与 Lazarus 有联系并共享工具、基础设施或其他资源。 必读安全报道 LilacSquid 对目标的初始访问方法是什么? 第一种方法:利用存在漏洞的 Web 应用程序 LilacSquid 用来危害目标的第一种方法是成功利用易受攻击的 Web 应用程序。 一旦利用完毕,威胁行为者就会部署脚本来设置恶意软件的工作文件夹,然后下载并执行 网格代理,一款开源远程管理工具。下载通常通过 Microsoft Windows 操作系统的合法工具完成 位管理员: bitsadmin […]