Google onthult ‘Initial Access Broker’ die werkt met Conti Ransomware Gang

Google Uncovers 'Initial Access Broker' Working with Conti Ransomware Gang Nachrichten

De Threat Analysis Group (TAG) van Google heeft een nieuwe initiële toegangsmakelaar in de wacht gesleept die naar eigen zeggen nauw gelieerd is aan een Russische cybercriminaliteitsbende die berucht is om zijn Conti- en Diavol-ransomware-operaties.

Nagesynchroniseerde Exotic Lily, de financieel gemotiveerde dreigingsactor, is geobserveerd door gebruik te maken van een nu gepatchte kritieke fout in het Microsoft Windows MSHTML-platform (CVE-2021-40444) als onderdeel van wijdverbreide phishing-campagnes waarbij niet minder dan 5.000 e-mails met zakelijke voorstellen werden verzonden per dag aan 650 gerichte organisaties wereldwijd.

“Initiële toegangsmakelaars zijn de opportunistische slotenmakers van de beveiligingswereld, en het is een fulltime baan,” TAG-onderzoekers Vlad Stolyarov en Vlad Stolyarov zei. “Deze groepen zijn gespecialiseerd in het overtreden van een doelwit om de deuren – of de Windows – te openen voor de kwaadwillende actor met het hoogste bod.”

Exotic Lily, voor het eerst gespot in september 2021, zou betrokken zijn geweest bij data-exfiltratie en implementatie van de door mensen bediende Conti- en Diavol-ransomwarestammen, die beide overlap vertonen met het Russische cybercriminelensyndicaat Wizard Spider, dat ook bekend staat voor het bedienen van TrickBot , Bazar Backdoor en Anker.

De social engineering-lokmiddelen van de dreigingsactor, verzonden vanaf vervalste e-mailaccounts, hebben specifiek de IT-, cyberbeveiligings- en gezondheidszorgsectoren uitgekozen, hoewel na november 2021 de aanvallen meer willekeurig zijn geworden en gericht zijn op een breed scala aan organisaties en industrieën.

Naast het gebruik van fictieve bedrijven en identiteiten als middel om vertrouwen op te bouwen met de beoogde entiteiten, heeft Exotic Lily legitieme services voor het delen van bestanden zoals WeTransfer, TransferNow en OneDrive gebruikt om te leveren BazarBackdoor-ladingen in een poging om detectiemechanismen te omzeilen.

De malafide persona’s deden zich vaak voor als werknemers van bedrijven zoals Amazon, compleet met frauduleuze sociale-mediaprofielen op LinkedIn met nep-AI-gegenereerde profielfoto’s. De groep zou ook echte bedrijfsmedewerkers hebben nagebootst door hun persoonlijke gegevens uit sociale media en zakelijke databases zoals RocketReach en CrunchBase te halen.

“In de laatste fase zou de aanvaller de payload uploaden naar een openbare dienst voor het delen van bestanden (TransferNow, TransferXL, WeTransfer of OneDrive) en vervolgens een ingebouwde functie voor e-mailmeldingen gebruiken om het bestand met het doelwit te delen, zodat de uiteindelijke e-mail afkomstig zijn van het e-mailadres van een legitieme service voor het delen van bestanden en niet van de e-mail van de aanvaller, wat extra detectie-uitdagingen met zich meebrengt”, aldus de onderzoekers.

Ook geleverd met behulp van de MHTML-exploit is een aangepaste loader genaamd Bumblebee die is georkestreerd om systeeminformatie te verzamelen en te exfiltreren naar een externe server, die op terugopdrachten reageert om shellcode uit te voeren en uitvoerbare bestanden van de volgende fase uit te voeren, waaronder Cobalt Strike.

Een analyse van de communicatieactiviteit van de Exotic Lily geeft aan dat de dreigingsactoren op weekdagen een “typische 9-tot-5-baan” hebben en mogelijk werken vanuit een tijdzone in Midden- of Oost-Europa.

“EXOTIC LILY lijkt te opereren als een aparte entiteit, gericht op het verkrijgen van initiële toegang via e-mailcampagnes, met vervolgactiviteiten zoals de inzet van Conti en Diavol ransomware, die worden uitgevoerd door een andere reeks actoren”, concludeerden de onderzoekers.

David
Rate author
Hackarizona