Google opublikowało w zeszły czwartek analizę działań związanych z Initial Access Broker- brokerem początkowego dostępu (IAB) powiązanym z rosyjskojęzyczną grupą cyberprzestępczą śledzoną jako FIN12 lub Wizard Spider.
Grupa specjalizuje się w atakowaniu celów i zapewnienia dostępu dla innych cyberprzestępców. Działania tej motywowanej finansowo grupy, którą Google nazywa Exotic Lily, są ściśle powiązane z eksfiltracją danych i wdrażaniem oprogramowania ransomware, takiego jak Conti i Diavol, i wykazują pewne związki z BazarLoader i dystrybucja TrickBota.
W szczytowym okresie swojej działalności Exotic Lily prawdopodobnie wysyłała ponad 5000 wiadomości phishingowych dziennie, atakując około 650 organizacji na całym świecie, głównie skoncentrowanych na sektorach cyberbezpieczeństwa, opieki zdrowotnej i IT.
Grupa stosuje taktyki, techniki i procedury (TTP) zwykle kojarzone z bardziej ukierunkowanymi atakami – w tym podszywanie się pod firmy i pracowników – oraz korzysta z usług udostępniania plików, aby dostarczać ładunki w sposób umożliwiający uniknięcie mechanizmów wykrywania.
Grupa Analizy Zagrożeń Google (TAG) śledzi Exotic Lily od września 2021 r. – wtedy to zaobserwowano, że hakerzy atakują CVE-2021-40444, lukę zero-day w Microsoft MSHTML. TAG twierdzi, że łańcuch ataków grupy pozostaje stosunkowo spójny.
Tym, co wyróżnia Exotic Lily, jest fałszowanie domeny i tożsamości: grupa tworzy całkowicie fałszywe tożsamości, aby udawać pracowników prawdziwej firmy – w połączeniu z profilami w mediach społecznościowych, osobistymi witrynami internetowymi i obrazem profilowym generowanym przez sztuczną inteligencję.
Następnie grupa zaczyna wysyłać e-maile typu spear-phishing przy użyciu sfałszowanych kont e-mail, a nawet próbuje zaplanować spotkanie pod pretekstem propozycji biznesowej. Na ostatnim etapie do ofiary wysyłany jest ładunek hostowany w publicznej usłudze udostępniania plików.
Ładunek jest wysyłany za pomocą wbudowanej funkcji powiadamiania e-mailem, „pozwalając, by ostateczna wiadomość e-mail pochodziła z adresu e-mail legalnej usługi udostępniania plików, a nie z adresu e-mail osoby atakującej” – wyjaśnia Google.
„Egzotyczna Lily”, jak zauważają naukowcy, prowadzi ataki phishingowe obsługiwany przez ludzi na dużą skalę, prawdopodobnie ze strefy czasowej Europy Środkowo-Wschodniej, zwykle działając od 9 do 5 w dni powszednie, z niewielką aktywnością w weekendy.
Początkowo opierając się na exploitach CVE-2021-40444, grupa przeszła na używanie plików ISO zawierających biblioteki DLL BazarLoader i skróty LNK. Wygląda na to, że próbki zostały zbudowane na zamówienie tylko dla tej grupy.
W atakach zaobserwowanych w tym miesiącu grupa wykorzystywała pliki ISO z biblioteką DLL zawierającą niestandardowy program ładujący o nazwie Bumblebee, który Google zidentyfikował jako „bardziej zaawansowaną odmianę ładunku pierwszego etapu, który był wcześniej obserwowany podczas eksploatacji CVE-2021-40444”.
Pomimo bliskiego związku z FIN12, „Exotic Lily wydaje się działać jako odrębna jednostka, koncentrując się na uzyskaniu wstępnego dostępu poprzez kampanie e-mailowe, potem następują działania, które obejmują wdrażanie oprogramowania ransomware Conti i Diavol, które są wykonywane przez inny zestaw aktorów”, podsumowuje Google.