El Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google reveló un nuevo corredor de acceso inicial que, según dijo, está estrechamente afiliado a una pandilla rusa de ciberdelincuencia conocida por sus operaciones de ransomware Conti y Diavol.
Apodado Exotic Lily, se ha observado al actor de amenazas motivado financieramente explotando una falla crítica ahora parcheada en la plataforma Microsoft Windows MSHTML ( CVE-2021-40444 ) como parte de campañas de phishing generalizadas que involucraron el envío de no menos de 5,000 correos electrónicos con propuestas comerciales. al día a 650 organizaciones objetivo en todo el mundo.
«Los corredores de acceso inicial son los cerrajeros oportunistas del mundo de la seguridad, y es un trabajo de tiempo completo», dijeron los investigadores de TAG Vlad Stolyarov y Vlad Stolyarov . «Estos grupos se especializan en violar un objetivo para abrir las puertas, o las ventanas, al actor malicioso con la oferta más alta».
Se dice que Exotic Lily, detectada por primera vez en septiembre de 2021, estuvo involucrada en la exfiltración de datos y el despliegue de las cepas de ransomware Conti y Diavol operadas por humanos , las cuales comparten superposiciones con el sindicato ciberdelincuente ruso llamado Wizard Spider que también es conocido por operar TrickBot. , BazarBackdoor y Anchor.
Los señuelos de ingeniería social del actor de amenazas, enviados desde cuentas de correo electrónico falsificadas, se han centrado específicamente en los sectores de TI, ciberseguridad y atención médica, aunque después de noviembre de 2021, los ataques se han vuelto más indiscriminados y se dirigen a una amplia variedad de organizaciones e industrias.
Además de utilizar empresas e identidades ficticias como un medio para generar confianza con las entidades objetivo, Exotic Lily ha aprovechado los servicios legítimos de intercambio de archivos como WeTransfer, TransferNow y OneDrive para entregar cargas útiles de BazarBackdoor en un intento por evadir los mecanismos de detección.
Las personas deshonestas a menudo se hacían pasar por empleados de empresas como Amazon, con perfiles de redes sociales fraudulentos en LinkedIn que presentaban imágenes de perfil falsas generadas por IA. También se dice que el grupo se hizo pasar por empleados reales de la empresa al extraer sus datos personales de las redes sociales y bases de datos comerciales como RocketReach y CrunchBase.
«En la etapa final, el atacante cargaría la carga útil en un servicio público de intercambio de archivos (TransferNow, TransferXL, WeTransfer o OneDrive) y luego usaría una función de notificación por correo electrónico integrada para compartir el archivo con el objetivo, permitiendo que el correo electrónico final originarse en la dirección de correo electrónico de un servicio legítimo de intercambio de archivos y no en el correo electrónico del atacante, lo que presenta desafíos de detección adicionales», dijeron los investigadores.
También se entrega utilizando el exploit MHTML un cargador personalizado llamado Bumblebee que está orquestado para recopilar y filtrar información del sistema a un servidor remoto, que responde a los comandos para ejecutar shellcode y ejecutar ejecutables de próxima etapa, incluido Cobalt Strike.
Un análisis de la actividad de comunicación de Exotic Lily indica que los actores de amenazas tienen un «trabajo típico de 9 a 5» entre semana y es posible que trabajen desde una zona horaria de Europa Central o del Este.
«EXOTIC LILY parece operar como una entidad separada, enfocándose en adquirir acceso inicial a través de campañas de correo electrónico, con actividades de seguimiento que incluyen el despliegue de Conti y Diavol ransomware, que son realizadas por un conjunto diferente de actores», concluyeron los investigadores.
