Exotic Lily Corretor de Acesso Inicial Explora a Falha MSHTML do Microsoft Windows em Phishing
Índice:
Recentemente, novos criminosos cibernéticos chamados Exotic Lily foram analisados pelo Grupo de Análise de Ameaças (TAG) do Google. A atividade deste grupo de motivação financeira tem sido observada desde pelo menos setembro de 2021. Após uma investigação minuciosa, é justo sugerir que o grupo de cibercrime Exotic Lily é um Corretor de Acesso Inicial (IAB) que está interessado em obter acesso ilegal às redes internas das organizações para vendê-lo várias vezes em um mercado negro cibernético. Entre os clientes mais ativos deste grupo cibercriminoso estão os notórios atores de ameaça FIN12/WIZARD SPIDER, bem como os mantenedores dos ransomwares Conti e Diavol.
Os vetores de ataque dos atores de ameaça Exotic Lily têm sido consistentes, de acordo com os pesquisadores do Google. Suas campanhas de phishing têm explorado a vulnerabilidade CVE-2021-40444 no MSHTML do Microsoft Windows, enviando mais de 5.000 e-mails por dia para 650 organizações globalmente. Veja nosso conteúdo de detecção mais recente para esta atividade abaixo.
Detecção de Operações do Exotic Lily
Para detectar a atividade suspeita do grupo Exotic Lily em sua infraestrutura, veja um conjunto de regras dedicadas baseadas em Sigma disponíveis na plataforma da SOC Prime. Certifique-se de fazer login na plataforma ou registrar uma nova conta se você não tiver uma existente para acessar este conjunto de regras:
Arquivo .ISO suspeito descartado (via file_event)
User-Agent do carregador do EXOTIC LILY (via proxy)
Coleta de informações do sistema via wmic.exe
Confira mais detecções da extensa coleção da plataforma da SOC Prime para garantir que você identifique atividades suspeitas em várias etapas de uma possível cadeia de ataque. Por exemplo, as seguintes regras ajudam a detectar explorações da vulnerabilidade CVE-2021-40444:
IOCs de Ataque Zero Day Detectados por EXPMON [Exploração do CVE-2021-40444] (via cmdline)
Além disso, não se esqueça de verificar atividades suspeitas nos hosts:
LOLBAS rundll32 sem os argumentos esperados (via cmdline)
E se você está pronto para compartilhar sua própria expertise, é muito bem-vindo a se juntar à nossa iniciativa global de crowdsourcing e receber recompensas monetárias por sua valiosa contribuição.
Ver Detecções Participar do Threat Bounty
Atividade do Exotic Lily: Análise
Os métodos do Exotic Lily em essência não são novos, por isso eles têm sido identificáveis para os especialistas em inteligência de ameaças. No entanto, a falsificação de identidade que eles executaram tem sido altamente precisa e, na maioria dos casos, impossível de distinguir de e-mails legítimos. Pesquisadores sugerem que as campanhas de spear-phishing do Exotic Lily têm sido conduzidas manualmente, e não automaticamente. O local mais provável dos atacantes é a Europa Central ou Oriental e a atividade mais alta foi observada durante o horário comercial (das 9:00 às 18:00).
Os adversários começaram criando personas falsas que correspondiam a indivíduos reais e confiáveis. Primeiro, eles criariam uma cópia do site de uma persona legítima com um TLD alterado (por exemplo, .US em vez de .COM), seguido por contas de mídia social e e-mail. Os e-mails que enviavam incluíam propostas de negócios e, às vezes, eram seguidos por discussões particulares, agendamento de reuniões de negócios, etc., para torná-lo crível.
O e-mail final com uma carga maliciosa foi enviado utilizando um serviço legítimo de compartilhamento de arquivos como OneDrive, WeTransfer ou TransferNow e compartilhado por meio de um recurso de notificação por e-mail embutido. Isso permitiu que o malware escapasse da detecção.
Em março de 2022, o Exotic Lily mudou para a entrega de arquivos ISO personalizados com DLLs BazarLoader ocultas e atalhos LNK. As versões mais recentes das DLLs ocultas que usaram incluem uma variante mais avançada de uma carga útil de Acesso Inicial. Os pesquisadores acreditam que a mudança para o BazarLoader indica a existência de uma relação do Exotic Lily com grupos de cibercrime russos, como o DEV-0193 (FIN12/WIZARD SPIDER).
Abrace o poder da defesa colaborativa juntando-se à nossa comunidade global de cibersegurança em Detection as Code da SOC Prime plataforma. Desfrute de detecções precisas e oportunas feitas por profissionais experientes de todo o mundo para aumentar as operações e postura de segurança de sua equipe SOC.
