LilacSquid：幽灵黑客正在恐吓世界各地的公司

该组织只留下了 MeshAgent 和 PurpleInk 的痕迹。

自 2021 年以来，无证攻击者 LilacSquid 一直在对美国、欧洲和亚洲的各个领域进行有针对性的攻击。这些攻击的目的是窃取数据并建立对受感染组织的长期访问权限。

Cisco Talos 解释说，有必要创建对受害者系统的长期访问权限，以便 LilacSquid 可以将数据传输到其服务器。攻击的目标包括为美国研究和工业部门创建软件的 IT 组织、欧洲能源公司和亚洲制药公司。

思科 Talos 解释，

LilacSquid 感染链

LilacSquid 感染链

LilacSquid 的攻击利用已知漏洞来危害 Web 服务器，或利用受损的 RDP 凭据来传播恶意软件和开源工具。

RDP

该活动最显着的特点是使用了 MeshAgent，这是一种开源远程管理工具，可作为交付代号为 PurpleInk 的 Quasar RAT 特殊版本的渠道。

使用受损 RDP 凭据的替代感染方法包括两个选项：部署 MeshAgent 或安装 .NET InkLoader 来传送 PurpleInk。 Talos 还发现了 InkBox 工具，该工具用于在 InkLoader 之前部署 PurpleInk。

PurpleInk 自 2021 年起就受到 LilacSquid 的支持，它复杂且用途广泛，允许您执行文件操作、检索系统信息、启动远程 shell 以及连接到 C2 服务器。

C2 对韩国公司的攻击。