El corredor de acceso inicial Exotic Lily explota la vulnerabilidad MSHTML de Microsoft Windows en phishing
Tabla de contenidos:
Recientemente, nuevos cibercriminales llamados Exotic Lily fueron analizados por el Grupo de Análisis de Amenazas (TAG) de Google. La actividad de este grupo motivado por beneficios económicos ha sido observada desde al menos septiembre de 2021. Después de una investigación exhaustiva, es justo sugerir que el grupo cibercriminal Exotic Lily es un Broker de Acceso Inicial (IAB) que está interesado en obtener acceso ilegal a las redes internas de organizaciones para venderlo varias veces en un mercado negro cibernético. Entre los clientes más activos de esta banda cibernética están los notables actores de amenaza FIN12/WIZARD SPIDER, así como los mantenedores del ransomware Conti y Diavol.
Los vectores de ataque de los actores de amenaza Exotic Lily han sido consistentes, según los investigadores de Google. Sus campañas de phishing han explotado una vulnerabilidad CVE-2021-40444 en MSHTML de Microsoft Windows, enviando más de 5,000 correos electrónicos al día a 650 organizaciones a nivel global. Vea nuestro contenido de detección más reciente para esta actividad a continuación.
Detección de Operaciones de Exotic Lily
Para detectar la actividad sospechosa del grupo Exotic Lily en su infraestructura, consulte un conjunto de reglas basadas en Sigma disponibles en la plataforma de SOC Prime. Asegúrese de iniciar sesión en la plataforma o registrar una nueva cuenta si no tiene una existente para acceder a este conjunto de reglas:
Posible Ejecución EXOTIC LILY con Vulnerabilidad Microsoft MSHTML (CVE-2021-40444) via Rundll32
Archivo .ISO sospechoso descargado (via file_event)
User-Agent del cargador de EXOTIC LILY (via proxy)
Recolección de información del sistema via wmic.exe
Consulte más detecciones de la extensa colección de la plataforma de SOC Prime para asegurarse de detectar actividad sospechosa en varias etapas de una posible cadena de ataque. Por ejemplo, las siguientes reglas ayudan a detectar los exploits de vulnerabilidad CVE-2021-40444:
IOCs de Ataque de Día Cero Detectados por EXPMON [Explotación CVE-2021-40444] (via cmdline)
Además, no olvide verificar la actividad sospechosa en los hosts:
LOLBAS rundll32 sin argumentos esperados (via cmdline)
Y si está listo para compartir su propia experiencia, le invitamos a unirse a nuestra iniciativa global de crowdsourcing y obtener recompensas monetarias por su valiosa contribución.
Ver Detecciones Únete a Threat Bounty
Actividad de Exotic Lily: Análisis
Los métodos de Exotic Lily en esencia no son nuevos, por eso han sido identificables para los expertos en inteligencia de amenazas. Sin embargo, la suplantación de identidad que ejecutaron ha sido altamente precisa y en la mayoría de los casos, imposible de distinguir de correos electrónicos legítimos. Los investigadores sugieren que las campañas de spear-phishing de Exotic Lily se han realizado a mano, no automáticamente. La ubicación más probable de los atacantes es Europa Central u Oriental y la mayor actividad se ha observado durante el horario laboral (de 9:00 AM a 6:00 PM).
Los adversarios comenzaron creando identidades falsas que correspondían con individuos reales y de confianza. Primero, crearían una copia del sitio web de una identidad legítima con un TLD alterado (p. ej., .US en lugar de .COM), seguido por cuentas de redes sociales y correo electrónico. Los correos electrónicos que enviaron incluían propuestas de negocios y a veces eran seguidos por discusiones particulares, programación de una reunión de negocios, etc., para hacerlo creíble.
El correo electrónico final con una carga maliciosa fue enviado usando un servicio legítimo de intercambio de archivos como OneDrive, WeTransfer o TransferNow y se compartía a través de una característica de notificación por correo electrónico incorporada. Esto permitía que el malware eludiera la detección.
En marzo de 2022, Exotic Lily cambió a la entrega de archivos ISO personalizados con DLLs de BazarLoader ocultos y accesos directos LNK. Las últimas versiones de las DLLs ocultas que usaron incluyen una variante más avanzada de una carga de Acceso Inicial. Los investigadores creen que el cambio a BazarLoader indica la existencia de la relación de Exotic Lily con grupos cibercriminales rusos, como DEV-0193 (FIN12/WIZARD SPIDER).
Abraza el poder de la defensa colaborativa uniéndote a nuestra comunidad global de ciberseguridad en Detección como Código de SOC Prime plataforma. Aprovecha detecciones precisas y oportunas realizadas por profesionales experimentados de todo el mundo para mejorar las operaciones y la postura de seguridad de tu equipo SOC.
