エキゾチックリリーがMicrosoft WindowsのMSHTMLの脆弱性をフィッシングで利用

Exotic Lilyと呼ばれる新たなサイバー犯罪者が最近 Googleの脅威分析グループ（TAG）によって分析されました。この金銭目的のグループの活動は、少なくとも2021年9月以来観察されています。徹底的な調査の結果、Exotic Lilyサイバー犯罪グループは、複数回にわたって組織の内部ネットワークへの不法アクセスを販売することに関心を持っている、初期アクセスブローカー（IAB）であると考えられます。このサイバーギャングの最も活発な顧客には、悪名高いFIN12/WIZARD SPIDER脅威アクターやConti、Diavolランサムウェアの管理者が含まれます。 Googleの研究者によると、Exotic Lilyの脅威アクターの攻撃ベクトルは一貫しています。彼らのフィッシングキャンペーンはMicrosoft Windows MSHTMLのCVE-2021-40444脆弱性を悪用し、世界中の650の組織に毎日5,000通以上のメールを送信しています。この活動に関する最新の検出コンテンツについては以下をご覧ください。

Exotic Lilyの作戦検出

Exotic Lilyグループの怪しい活動をあなたのインフラで検出するには、SOC Primeのプラットフォームで利用可能なSigmaベースの専用ルールを表示してください。このルールセットにアクセスするためには、プラットフォームにログインするか、アカウントがない場合は新規登録してください。

Microsoft MSHTML脆弱性（CVE-2021-40444）経由でのEXOTIC LILYの実行の可能性（Rundll32利用）

疑わしい.ISOファイルがドロップされた（file_event経由）

EXOTIC LILYのローダー ユーザーエージェント（プロキシ経由）

wmic.exeを介したシステム情報収集

可能性のある攻撃チェーンの様々な段階で疑わしい活動を発見するために、SOC Primeプラットフォームの豊富なコレクションからさらなる検出を確認してください。例えば、以下のルールはCVE-2021-40444脆弱性のエクスプロイトを検出するのに役立ちます。

CVE-2021-40444のエクスプロイトの可能性（Microsoft MSHTML リモートコード実行脆弱性）（image_load経由）

EXPMONによって検出されたゼロデイ攻撃のIOC [CVE-2021-40444 エクスプロイト]（cmdline経由）

また、ホスト上での疑わしい活動を確認することも忘れないでください：

LOLBAS rundll32（cmdline経由）

期待される引数なしのLOLBAS rundll32（cmdline経由）

そして、もし自分の専門知識を共有する準備ができたら、私たちのグローバルなクラウドソーシングイニシアチブに参加して、貴重な貢献に対して金銭的報酬を受け取ることが大いに歓迎されています。

検出を表示

脅威報奨金に参加 Exotic Lilyの活動：分析

本質的にExotic Lilyの方法は新しくありません、それが脅威インテリジェンスの専門家にとっては識別可能な理由です。しかし、彼らが実行したアイデンティティスプーフィングは非常に正確で、多くの場合、合法的なメールと区別することは不可能です。研究者は、Exotic Lilyのスピアフィッシングキャンペーンが自動化されずに手作業で実施されたことを示唆しています。攻撃者の最も可能性の高い場所は中央または東ヨーロッパとされ、活動のピークはビジネスアワー（午前9時から午後6時）に観察されました。

攻撃者はまず、信頼できる実在の人物と対応する偽のペルソナを作成しました。最初に、実在のペルソナのWebサイトを変更したTLD（例：.COMではなく.US）を用いてコピーし、その後ソーシャルメディアやメールアカウントを作成しました。送信されたメールにはビジネス提案が含まれ、時には特定のディスカッション、ビジネスミーティングのスケジュールなどが続き、本物に見せかけることがありました。

悪意のあるペイロードを持つ最後のメールは、OneDrive、WeTransfer、またはTransferNowのような正規のファイル共有サービスを使用して送信され、組み込みのメール通知機能を通じて共有されました。これにより、マルウェアは検出を回避できました。

2022年3月、Exotic LilyはカスタムビルドされたISOファイルの配信にシフトし、隠されたBazarLoader DLLとLNKショートカットを含むようになりました。彼らが使用した隠されたDLLの最新バージョンには、初期アクセスペイロードのより高度なバリアントが含まれています。研究者は、BazarLoaderへのシフトが、Exotic Lilyのロシアのサイバー犯罪グループ、例えばDEV-0193（FIN12/WIZARD SPIDER）との関係の存在を示していると信じています。

私たちのグローバルなサイバーセキュリティコミュニティに参加することでコラボレーティブディフェンスの力を受け入れてください。

SOC Primeのコードとしての検出 プラットフォーム。世界中の経験豊かな専門家によって作られた正確でタイムリーな検出を利用して、SOCチームの運用とセキュリティの姿勢を向上させてください。 platform. Avail accurate and timely detections made by seasoned professionals from around the world to boost your SOC team’s operations and security posture.