Exotic Lily Broker di Accesso Iniziale Sfrutta il Difetto MSHTML di Microsoft Windows nel Phishing
Indice:
Nuovi cybercriminali chiamati Exotic Lily sono stati recentemente analizzati dal Threat Analysis Group (TAG) di Google. L’attività di questo gruppo di criminali informatici motivata finanziariamente è stata osservata almeno dal settembre 2021. Dopo un’attenta indagine, è giusto suggerire che il gruppo di cybercriminali Exotic Lily sia un Broker di Accesso Iniziale (IAB) interessato a ottenere accessi illeciti alle reti interne delle organizzazioni per poi rivenderli più volte su un mercato nero informatico. Tra i clienti più attivi di questa gang di cybercriminali ci sono i famigerati attori di minacce FIN12/WIZARD SPIDER, così come i manutentori dei ransomware Conti e Diavol.
I vettori di attacco degli attori di minacce Exotic Lily sono stati coerenti, secondo i ricercatori di Google. Le loro campagne di phishing hanno sfruttato una vulnerabilità CVE-2021-40444 in Microsoft Windows MSHTML, inviando più di 5.000 email al giorno a 650 organizzazioni in tutto il mondo. Vedi di seguito il nostro contenuto di rilevamento più recente per questa attività.
Rilevamento delle Operazioni di Exotic Lily
Per rilevare l’attività sospetta del gruppo Exotic Lily nella tua infrastruttura, visualizza un insieme di regole basate su Sigma disponibili sulla piattaforma di SOC Prime. Assicurati di accedere alla piattaforma o registra un nuovo account se non ne hai già uno per accedere a questo set di regole:
Possibile esecuzione EXOTIC LILY con vulnerabilità Microsoft MSHTML (CVE-2021-40444) via Rundll32
File .ISO sospetto rilasciato (via file_event)
User-Agent del loader di EXOTIC LILY (via proxy)
Raccolta di informazioni di sistema tramite wmic.exe
Scopri più rilevamenti dalla vasta collezione della piattaforma di SOC Prime per assicurarti di individuare attività sospette in varie fasi di una potenziale catena di attacco. Ad esempio, le seguenti regole aiutano a rilevare gli exploit della vulnerabilità CVE-2021-40444:
IOC dell’attacco Zero Day rilevato da EXPMON [Exploitazione CVE-2021-40444] (via cmdline)
Inoltre, non dimenticare di controllare l’attività sospetta sugli host:
LOLBAS rundll32 senza argomenti previsti (via cmdline)
E se sei pronto a condividere la tua esperienza, sei altamente invitato a unirti alla nostra iniziativa di crowdsourcing globale e ottenere ricompense monetarie per il tuo prezioso contributo.
Visualizza Rilevamenti Unisciti a Threat Bounty
Attività di Exotic Lily: Analisi
I metodi di Exotic Lily in sostanza non sono nuovi, ecco perché sono stati identificabili per gli esperti di intelligence sulle minacce. Tuttavia, lo spoofing di identità che hanno eseguito è stato altamente accurato e nella maggior parte dei casi impossibile da distinguere dalle email legittime. I ricercatori suggeriscono che le campagne di spear-phishing di Exotic Lily siano state condotte manualmente, non automaticamente. La posizione più probabile degli attaccanti è l’Europa centrale o orientale e l’attività più alta è stata osservata durante le ore lavorative (dalle 9:00 alle 18:00).
Gli avversari hanno iniziato creando false identità che corrispondevano a persone reali e di fiducia. In primo luogo, creavano una copia del sito web di una persona legittima con un TLD alterato (ad esempio, .US invece di .COM), seguiti da account sui social media e email. Le email che inviavano includevano proposte commerciali e talvolta erano seguite da discussioni specifiche, programmazioni di incontri di lavoro, ecc., per renderle credibili.
L’email finale con un payload malevolo è stata inviata utilizzando un servizio di condivisione file legittimo come OneDrive, WeTransfer o TransferNow e condivisa tramite una funzione di notifica email integrata. Questo ha permesso al malware di eludere il rilevamento.
A marzo 2022, Exotic Lily è passata alla consegna di file ISO personalizzati costruiti con DLL BazarLoader nascoste e collegamenti LNK. Le ultime versioni delle DLL nascoste che hanno utilizzato includono una variante più avanzata di un payload di Accesso Iniziale. I ricercatori ritengono che il passaggio a BazarLoader indichi l’esistenza di una relazione di Exotic Lily con gruppi di cybercriminali russi, come DEV-0193 (FIN12/WIZARD SPIDER).
Abbraccia il potere della difesa collaborativa unendoti alla nostra comunità globale di cybersecurity su SOC Prime’s Detection as Code piattaforma. Approfitta di rilevamenti accurati e tempestivi effettuati da professionisti esperti di tutto il mondo per potenziare le operazioni del tuo team SOC e la tua posture di sicurezza.
