Exotic Lily Initialzugangs-Broker nutzt die Microsoft Windows MSHTML-Schwachstelle in Phishing aus
Inhaltsverzeichnis:
Neue Cyberkriminelle namens Exotic Lily wurden kürzlich analysiert von Googles Threat Analysis Group (TAG). Die Aktivitäten dieser finanziell motivierten Gruppe wurden seit mindestens September 2021 beobachtet. Nach gründlicher Untersuchung ist es gerechtfertigt zu sagen, dass die Exotic Lily-Cybercrime-Gruppe ein Initial Access Broker (IAB) ist, der daran interessiert ist, unrechtmäßigen Zugang zu internen Netzwerken von Organisationen zu erlangen, um diesen mehrfach auf einem schwarzen Cybermarkt zu verkaufen. Zu den aktivsten Kunden dieser Cybergang zählen die berüchtigten FIN12/WIZARD SPIDER Bedrohungsakteure sowie die Betreiber von Conti und Diavol Ransomware.
Die Angriffsvektoren der Exotic Lily Bedrohungsakteure waren laut den Forschern von Google konsistent. Ihre Phishing-Kampagnen nutzten eine CVE-2021-40444-Sicherheitslücke in Microsoft Windows MSHTML aus und versendeten täglich mehr als 5.000 E-Mails an 650 Organisationen weltweit. Siehe unten unseren neuesten Erkennungsinhalt für diese Aktivität.
Erkennung der Operationen von Exotic Lily
Um die verdächtige Aktivität der Exotic Lily-Gruppe in Ihrer Infrastruktur zu erkennen, sehen Sie sich eine Reihe von Sigma-basierten Regeln an, die auf der Plattform von SOC Prime verfügbar sind. Stellen Sie sicher, dass Sie sich auf der Plattform anmelden oder ein neues Konto registrieren, wenn Sie noch keines haben, um auf dieses Regelsatz zuzugreifen:
Mögliche EXOTIC LILY-Ausführung mit Microsoft MSHTML-Schwachstelle (CVE-2021-40444) über Rundll32
Verdächtige .ISO-Datei abgelegt (via file_event)
EXOTIC LILY’s Loader User-Agent (via proxy)
Systeminformationssammlung über wmic.exe
Entdecken Sie weitere Erkennungen aus der umfassenden Sammlung auf der Plattform von SOC Prime, um sicherzustellen, dass Sie verdächtige Aktivitäten in verschiedenen Phasen einer möglichen Angriffskette erkennen. Zum Beispiel helfen die folgenden Regeln bei der Erkennung von Exploits der CVE-2021-40444-Schwachstelle:
IOC eines Zero-Day-Angriffs, entdeckt von EXPMON [CVE-2021-40444-Ausnutzung] (via cmdline)
Vergessen Sie auch nicht, nach verdächtigen Aktivitäten auf Hosts zu suchen:
LOLBAS rundll32 ohne erwartete Argumente (via cmdline)
Und wenn Sie bereit sind, Ihr eigenes Fachwissen zu teilen, sind Sie herzlich eingeladen, sich unserer globalen Crowdsourcing-Initiative anzuschließen und monetäre Belohnungen für Ihren wertvollen Beitrag zu erhalten.
Erkennungen ansehen Threat Bounty beitreten
Aktivität von Exotic Lily: Analyse
Die Methoden von Exotic Lily sind im Grunde nicht neu, weshalb sie für Bedrohungsanalysten identifizierbar waren. Allerdings war die von ihnen ausgeführte Identitätsspionage äußerst präzise und in den meisten Fällen nicht von legitimen E-Mails zu unterscheiden. Forscher vermuten, dass die Spear-Phishing-Kampagnen von Exotic Lily manuell und nicht automatisiert durchgeführt wurden. Der wahrscheinlichste Standort der Angreifer ist Mittel- oder Osteuropa, und die höchste Aktivität wurde während der Geschäftszeiten beobachtet (von 9:00 bis 18:00 Uhr).
Die Gegner begannen mit der Erstellung gefälschter Personen, die realen und vertrauenswürdigen Individuen entsprachen. Zuerst erstellten sie eine Kopie der Website einer legitimen Person mit einer geänderten TLD (z.B. .US anstelle von .COM), gefolgt von sozialen Medien und E-Mail-Konten. Die von ihnen gesendeten E-Mails enthielten Geschäftsangebote und wurden manchmal von besonderen Diskussionen, Terminvereinbarungen für ein Geschäftstreffen usw. gefolgt, um es glaubwürdig zu machen.
Die endgültige E-Mail mit einer bösartigen Nutzlast wurde unter Verwendung eines legitimen File-Sharing-Dienstes wie OneDrive, WeTransfer oder TransferNow gesendet und über eine eingebaute E-Mail-Benachrichtigungsfunktion geteilt. Dadurch konnte die Malware der Erkennung entgehen.
Im März 2022 wechselte Exotic Lily zur Zustellung maßgeschneiderter ISO-Dateien mit versteckten BazarLoader-DLLs und LNK-Verknüpfungen. Die neuesten Versionen der von ihnen verwendeten versteckten DLLs umfassen eine fortschrittlichere Variante einer Initial Access-Nutzlast. Forscher glauben, dass der Wechsel zu BazarLoader auf die Existenz einer Beziehung von Exotic Lily zu russischen Cyberkriminalitätsgruppen wie DEV-0193 (FIN12/WIZARD SPIDER) hinweist.
Nutzen Sie die Macht der kollaborativen Verteidigung, indem Sie unserer globalen Cybersecurity-Community beitreten bei SOC Prime’s Detection as Code Plattform. Verfügbar sind präzise und zeitnahe Erkennungen, die von erfahrenen Fachleuten aus der ganzen Welt erstellt wurden, um die Operationen und Sicherheitslage Ihres SOC-Teams zu verbessern.
