Ciberdelincuentes Dirigen sus Ataques a la Industria de TI

Las industrias de TI son un objetivo principal para los ciberdelincuentes debido a la valiosa información que manejan, la infraestructura crítica que poseen y el acceso a datos confidenciales de múltiples sectores. Comprometer a las empresas de TI puede proporcionar a los ciberdelincuentes oportunidades significativas para el espionaje, ganancias financieras e interrupción de servicios esenciales.

La Amenaza de LilacSquid

Recientemente, los investigadores de ciberseguridad de Cisco Talos han detectado que los ciberdelincuentes de LilacSquid han estado atacando activamente las industrias de TI con el objetivo de recopilar datos confidenciales. Este grupo avanzado de amenazas persistentes (APT) ha estado llevando a cabo una campaña de robo de datos desde al menos 2021, comprometiendo con éxito objetivos en las industrias farmacéutica, petrolera, de gas y tecnológica en Asia, Europa y EE. UU.

Métodos de Ataque

El acceso inicial a los sistemas se logró aprovechando vulnerabilidades y utilizando credenciales RDP robadas. Después de comprometer un sistema, LilacSquid implementó herramientas de acceso remoto como MeshAgent, una variante personalizada llamada “PurpleInk” de QuasarRAT y herramientas de proxy de código abierto como SSF. Estas herramientas y técnicas se superponen con las tácticas, técnicas y procedimientos (TTP) de grupos norcoreanos como Lazarus y Andariel.

La campaña de LilacSquid está diseñada para establecer un acceso duradero para la filtración continua de datos. Los compromisos anteriores de la cadena de suministro destacan los riesgos asociados con este tipo de amenaza avanzada y persistente.

Estrategias de Infección

LilacSquid emplea dos formas principales de iniciar infecciones:

1. Hackeo de aplicaciones web vulnerables.
2. Uso de credenciales RDP robadas.

Una vez que se logra la infracción, los ciberdelincuentes utilizan programas como MeshAgent para el acceso remoto, SSF para túneles seguros y malware personalizado como InkLoader y PurpleInk RAT.

Durante la explotación de la aplicación, MeshAgent actúa como el primer punto de compromiso, permitiendo la entrega de otros implantes. Configuran la persistencia antes de implementar PurpleInk, colocando InkLoader primero en los reinicios cuando utilizan inicios de sesión RDP comprometidos.

Este método estratificado crea múltiples rutas de acceso y técnicas duplicadas que los ciberdelincuentes utilizan para robar información de las víctimas.

Herramientas y Técnicas

PurpleInk es el malware insignia de LilacSquid, una variante dinámica de QuasarRAT vista por primera vez en 2021. Este malware está altamente disfrazado y es lo suficientemente flexible como para matar procesos, ejecutar código, robar archivos, recopilar detalles del sistema y pasar conexiones a través de hosts afectados que actúan como relés.

Sin embargo, las muestras recientes de los años 2023 y 2024 son más ligeras y han sacrificado funciones como la gestión de archivos, posiblemente en aras del sigilo o para evadir la detección. Las características principales de este malware se han mantenido a través de su shell inverso central y su capacidad de proxy, lo que muestra cómo los actores de amenazas adaptan la funcionalidad de su malware de forma iterativa según las necesidades operativas.

LilacSquid utiliza una cadena de infección de varias etapas que consta de varios componentes de malware. InkBox es un cargador que descifra y ejecuta cargas útiles de puerta trasera de PurpleInk. Un método diferente involucra a InkLoader, que ejecuta PurpleInk en un proceso separado desde 2023.

Impacto y Riesgos

MeshAgent es una herramienta de administración remota de código abierto que se usa comúnmente como punto de apoyo inicial para la implementación utilizando archivos de configuración que contienen identificadores de víctimas y direcciones C2. Una vez comprometido, MeshAgent permite una mayor distribución de malware como SSF o PurpleInk a los sistemas infectados, lo que proporciona al grupo APT una amplia gama de capacidades para el acceso remoto.

Este enfoque modular permite a LilacSquid crear puntos de acceso redundantes mientras oculta su actividad. Los ciberdelincuentes pueden utilizar estos puntos de acceso para mantener su presencia en los sistemas comprometidos y continuar robando datos sin ser detectados.

La creciente sofisticación de los ataques cibernéticos dirigidos a las industrias de TI subraya la necesidad de una vigilancia constante y medidas de seguridad proactivas. Las empresas deben adoptar prácticas de seguridad robustas, como la actualización regular de software, la implementación de soluciones de seguridad avanzadas y la educación continua de los empleados sobre las amenazas cibernéticas.

El caso de LilacSquid ejemplifica cómo los ciberdelincuentes pueden utilizar tácticas avanzadas y persistentes para comprometer sistemas críticos y robar datos valiosos. Mantenerse un paso adelante de estos actores malintencionados requiere una combinación de tecnología avanzada, inteligencia de amenazas y una cultura de seguridad sólida en todas las organizaciones.

Tomar medidas preventivas, como el monitoreo continuo de redes, la implementación de controles de acceso estrictos y la respuesta rápida a incidentes, puede ayudar a mitigar el riesgo de compromisos similares en el futuro. En el mundo interconectado de hoy, la seguridad cibernética no es solo una prioridad, sino una necesidad fundamental para proteger la información y la infraestructura crítica.

#Ciberseguridad ? #ProtecciónTI ?️ #SeguridadInformática ?️ #AmenazasAPT ⚠️ #IndustriaTI ? #LilacSquid ? #DatosConfidenciales ? #Malware ? #Hackeo ? #CiscoTalos ?️‍♂️