Le courtier d’accès initial Exotic Lily exploite la faille MSHTML de Microsoft Windows dans le phishing
Table des matières :
De nouveaux cybercriminels appelés Exotic Lily ont récemment été analysés par le Threat Analysis Group (TAG) de Google. L’activité de ce groupe motivé par des raisons financières a été observée depuis au moins septembre 2021. Après une enquête approfondie, il est juste de suggérer que le groupe de cybercriminalité Exotic Lily est un courtié en accès initial (IAB) intéressé par l’obtention d’un accès illégal aux réseaux internes des organisations afin de le vendre plusieurs fois sur un marché noir cybercriminel. Parmi les clients les plus actifs de ce gang se trouvent les acteurs de menaces notoires FIN12/WIZARD SPIDER, ainsi que les mainteneurs des ransomwares Conti et Diavol.
Les vecteurs d’attaque des acteurs de la menace Exotic Lily ont été cohérents, selon les chercheurs de Google. Leurs campagnes de phishing ont exploité la vulnérabilité CVE-2021-40444 dans Microsoft Windows MSHTML, envoyant plus de 5 000 emails par jour à 650 organisations dans le monde entier. Consultez notre contenu de détection le plus récent pour cette activité ci-dessous.
Détection des Opérations d’Exotic Lily
Pour détecter l’activité suspecte du groupe Exotic Lily dans votre infrastructure, consultez un ensemble de règles basées sur Sigma disponibles sur la plateforme de SOC Prime. Assurez-vous de vous connecter à la plateforme ou d’enregistrer un nouveau compte si vous n’en avez pas déjà un pour accéder à cet ensemble de règles :
Fichier .ISO suspect déposé (via file_event)
User-Agent du chargeur EXOTIC LILY (via proxy)
Collecte d’informations système via wmic.exe
Découvrez plus de détections issues de la vaste collection de la plateforme SOC Prime pour vous assurer de repérer toute activité suspecte à divers stades d’une attaque potentielle. Par exemple, les règles suivantes aident à détecter les exploits de la vulnérabilité CVE-2021-40444 :
N’oubliez pas non plus de vérifier les activités suspectes sur les hôtes :
LOLBAS rundll32 sans les arguments attendus (via cmdline)
Et si vous êtes prêt à partager votre propre expertise, vous êtes grandement encouragé à rejoindre notre initiative mondiale de crowdsourcing et à recevoir des récompenses monétaires pour votre précieuse contribution.
Voir les Détections Rejoindre Threat Bounty
Activité de Exotic Lily : Analyse
Les méthodes d’Exotic Lily en essence ne sont pas nouvelles, c’est pourquoi elles ont été identifiables pour les experts en renseignement sur les menaces. Cependant, l’usurpation d’identité qu’ils ont exécutée a été extrêmement précise et dans la plupart des cas, impossible à distinguer des emails légitimes. Les chercheurs suggèrent que les campagnes de spear-phishing d’Exotic Lily ont été menées à la main, non automatiquement. L’emplacement le plus probable des attaquants est l’Europe centrale ou orientale et l’activité la plus intense a été observée pendant les heures ouvrables (de 9 h 00 à 18 h 00).
Les adversaires ont commencé par créer de fausses personnalités correspondant à des individus réels et dignes de confiance. Tout d’abord, ils créeraient une copie du site Web d’une personnalité légitime avec un TLD modifié (par exemple, .US au lieu de .COM), suivie de comptes sur les réseaux sociaux et d’adresses e-mail. Les emails qu’ils envoyaient comprenaient des propositions commerciales et étaient parfois suivis de discussions particulières, de planification de rendez-vous d’affaires, etc., pour les rendre crédibles.
L’email final avec une charge malveillante a été envoyé en utilisant un service de partage de fichiers légitime comme OneDrive, WeTransfer ou TransferNow et partagé via une fonction de notification d’e-mail intégrée. Cela a permis au logiciel malveillant d’éviter la détection.
En mars 2022, Exotic Lily est passé à la livraison de fichiers ISO personnalisés avec des DLL BazarLoader cachés et des raccourcis LNK. Les dernières versions des DLL cachés qu’ils ont utilisées incluent une variante plus avancée d’une charge utile d’accès initial. Les chercheurs pensent que le passage à BazarLoader indique l’existence de la relation d’Exotic Lily avec des groupes de cybercriminalité russes, tels que DEV-0193 (FIN12/WIZARD SPIDER).
Adoptez la puissance de la défense collaborative en rejoignant notre communauté mondiale de cybersécurité à SOC Prime’s Detection as Code plateforme. Profitez de détections précises et opportunes réalisées par des professionnels expérimentés du monde entier pour renforcer les opérations de votre équipe SOC et améliorer votre posture de sécurité.
