El Grupo de Análisis de Amenazas de Google (TAG, por sus siglas en inglés), ha descubierto un nuevo Corredor de Acceso Inicial (Initial Access Broker o IAB) que dice estar estrechamente afiliado a una banda de ciberdelincuencia rusa conocida por sus operaciones de ransomware Conti y Diavol.
Apodado el ‘Exotic Lily’ (Lirio Exótico, por sus siglas en inglés), el actor de la amenaza con motivo financiero ha sido observado explotando un fallo crítico en la plataforma MSHTML de Microsoft Windows (CVE-2021-40444) como parte de campañas de phishing generalizada que implicó el envío de no menos de 5.000 correos electrónicos al día con temáticas de propuesta de negocio dirigido a 650 organizaciones a nivel global.
“Los IABs son cerrajeros oportunistas en el mundo de la seguridad, y trabajan tiempo completo”, el investigador de TAG, Vlad Stolyarov dijo. “Estos grupos especializados en romper un objetivo para abrir las puertas o ventanas a un actor malicioso con la más alta oferta”.
Exotic Lily, se vio por primera vez en septiembre del 2021, se dice que ha estado involucrado en la exfiltración de datos y en el despliegue de las cepas de ransomware Conti y Diavol operadas por humanos, ambos de los cuales comparten solapamientos con Witzard Spider (Mago araña), el sindicato de ciber delincuencia ruso que también es conocido por operar TrickBot, BazarBackdoor y Anchor.
En la fuga de información sobre el ransomware Conti, sus miembros mencionaron ‘spammers’ como alguien con quien trabajan (por ejemplo: proporcionar muestras de malware “encriptadas” a medida, etc) Mediante la subcontratación. Sin embargo, muchos de los ‘spammers’ no parecen estar presente (o activamente comunicados) en el chat, por lo tanto, lleva a concluir que ellos están operando como entidades separadas.
Los señuelos de ingeniería social del actor de la amenaza, enviados desde cuentas de correo electrónicas , han señalado específicamente las empresas de tecnología, y los sectores de sanidad, aunque en noviembre, los ataques se han vuelto más indiscriminados y se dirigen a una gran variedad de organizaciones e industrias.
Además de utilizar empresas e identidades ficticias como medio para generar confianza en las entidades objetivo, Exotic Lily ha aprovechado servicios legítimos de intercambio de archivos como WeTransfer, TransferNow y OneDrive para entregar datos de aplicativos de BazarBackdoor en un intento de evadir los mecanismos de detección.
Los delincuentes a menudo se hacían pasar por empleados de empresas como Amazon, con perfiles fraudulentos en las redes sociales como LinkedIn, con fotos de perfil falsas generadas por la Inteligencia Artificial -IA-. También se dice que el grupo se hizo pasar por empleados reales de la empresa al obtener sus datos personales de las redes sociales y las bases de datos empresariales como RocketReach y CrunchBase.
En la etapa final, el atacante subía los datos de los aplicativos a un servicio público de intercambio de archivos (TransferNow, TransferXL, WeTransfer o OneDrive) y luego utilizaba una función de notificación por correo electrónico incorporada para compartir el archivo con el objetivo, lo que permitía que el correo electrónico final se originara en la dirección de correo electrónico de un servicio legítimo de intercambio de archivos y no en el correo electrónico del atacante, lo que presenta desafíos adicionales de detección", dijeron los investigadores.
El “exploit” MHTML también incluye un cargador personalizado llamado Bumblebee, que se encarga de recopilar y filtrar información del sistema a un servidor remoto, que responde con comandos para ejecutar código en terminal y ejecutables como Cobalt Strike.
Un análisis de la actividad de comunicación de Exotic Lily indica que los actores de la amenaza tienen un "típico trabajo de 9 a 5" en días laborables y que posiblemente estén trabajando desde una zona horaria de Europa Central o del Este.
"Exotic Lily parece operar como una entidad independiente, centrándose en la adquisición de acceso inicial a través de campañas de correo electrónico, con actividades de seguimiento que incluyen el despliegue del ransomware Conti y Diavol, que son realizadas por un conjunto diferente de actores", concluyeron los investigadores.