Exotic Lily, 초기 접근 브로커가 Microsoft Windows MSHTML 취약점을 피싱에서 악용

최근 Exotic Lily라는 새로운 사이버 범죄자들이 분석되었습니다 Google의 위협 분석 그룹(TAG)에 의해. 이 금전적 동기를 가진 그룹의 활동은 최소한 2021년 9월부터 관찰되었습니다. 철저한 조사 후, Exotic Lily 사이버 범죄 그룹이 조직의 내부 네트워크에 대한 불법적인 접근을 얻고 이를 다크 웹에서 여러 번 판매하려는 초기 액세스 브로커(IAB)라고 제안하는 것이 타당합니다. 이 사이버 갱단의 가장 활동적인 고객 중에는 악명 높은 FIN12/WIZARD SPIDER 위협 행위자들과 Conti 및 Diavol 랜섬웨어 유지 관리자가 있습니다.

Google의 연구자들에 따르면 Exotic Lily 위협 행위자들의 공격 벡터는 일관적이었습니다. 그들의 피싱 캠페인은 Microsoft Windows MSHTML의 CVE-2021-40444 취약점을 악용하여 전 세계적으로 650개 조직에 매일 5,000개 이상의 이메일을 보내왔습니다. 아래에서 이 활동에 대한 우리의 최신 탐지 콘텐츠를 확인하세요.

Exotic Lily의 운영 탐지

귀하의 인프라 내에서 Exotic Lily 그룹의 의심스러운 활동을 탐지하려면 SOC Prime의 플랫폼에서 제공되는 Sigma 기반 규칙 세트를 확인하세요. 이 규칙 세트에 접근하려면 플랫폼에 로그인하거나 기존 계정이 없으면 새 계정을 등록하십시오:

Microsoft MSHTML 취약점(CVE-2021-40444)을 이용한 EXOTIC LILY 실행 가능성 (Rundll32를 통해)

의심스러운 .ISO 파일 드롭됨 (via file_event)

EXOTIC LILY의 로더 User-Agent (via proxy)

wmic.exe를 통한 시스템 정보 수집

가능한 공격 체인의 다양한 단계에서 의심스러운 활동을 확인하기 위해 SOC Prime의 플랫폼의 광범위한 컬렉션에서 더 많은 탐지를 확인하세요. 예를 들어 다음 규칙은 CVE-2021-40444 취약점 악용을 탐지하는 데 도움이 됩니다:

CVE-2021-40444 악용 가능성 (Microsoft MSHTML 원격 코드 실행 취약점) (이미지 로드를 통해)

EXPMON에 의해 탐지된 제로 데이 공격의 IOCs [CVE-2021-40444 악용] (cmdline을 통해)

또한 호스트에서의 의심스러운 활동도 확인하는 것을 잊지 마세요:

LOLBAS rundll32 (cmdline을 통해)

기대되는 인자가 없는 LOLBAS rundll32 (cmdline을 통해)

그리고 귀하가 자신의 전문 지식을 공유할 준비가 되었다면, 우리의 글로벌 크라우드소싱 이니셔티브에 참여하여 귀중한 기여에 대한 금전적 보상을 받으실 수 있습니다.

탐지 보기 위협 보상 참여

Exotic Lily의 활동: 분석

본질적으로 Exotic Lily의 방법은 새롭지 않으며, 이는 위협 정보 전문가들에게 식별 가능하게 되었습니다. 그러나 그들이 수행한 신원 스푸핑은 매우 정밀하여 대개 합법적인 이메일과 구분할 수 없었습니다. 연구자들은 Exotic Lily의 스피어피싱 캠페인이 자동화되지 않고 수작업으로 수행되었다고 제안합니다. 공격자의 가장 가능성이 높은 위치는 중앙 또는 동유럽이며, 가장 높은 활동은 근무 시간(오전 9시부터 오후 6시까지) 동안 관찰되었습니다.

적들은 처음에 실제로 신뢰할 수 있는 사람들과 일치하는 가짜 인물을 만들기 시작했습니다. 우선, 합법적인 인물의 웹사이트와 유사한 버전을 .COM 대신 .US와 같은 변경된 TLD로 만들어, 그 후 소셜 미디어와 이메일 계정을 생성했습니다. 그들이 보낸 이메일에는 사업 제안이 포함되어 있었으며, 때때로는 믿을 수 있도록 특정 논의, 비즈니스 미팅 일정 등으로 이어졌습니다.

악성 페이로드가 포함된 최종 이메일은 OneDrive, WeTransfer, TransferNow와 같은 합법적인 파일 공유 서비스를 사용해 발송되었고, 내장된 이메일 알림 기능을 통해 공유되었습니다. 이는 악성코드가 탐지를 피할 수 있게 했습니다.

2022년 3월 Exotic Lily는 숨겨진 BazarLoader DLL 및 LNK 바로가기가 포함된 사용자 정의 ISO 파일을 배송하는 것으로 전환했습니다. 그들이 사용한 최신 숨겨진 DLL 버전에는 보다 발전된 초기 액세스 페이로드 변형이 포함되어 있습니다. 연구자들은 BazarLoader로의 전환이 Exotic Lily와 러시아 사이버범죄 그룹인 DEV-0193(FIN12/WIZARD SPIDER)와의 관계를 나타낸다고 믿고 있습니다.

우리의 글로벌 사이버보안 커뮤니티에 참여하여 협력적인 방어의 힘을 만끽하세요. SOC Prime의 Detection as Code 플랫폼. 숙련된 전 세계 전문가들이 만든 정확하고 시기 적절한 탐지 내용을 활용하여 SOC 팀의 운영 및 보안 태세를 향상시키세요.