Die Threat Analysis Group von Google hat einen finanziell motivierten Angreifer beobachtet, der als Vermittler für die russischen Hacker arbeitet, darunter die Ransomware-Gang Conti.
Die Gruppe, die Google als „Exotic Lily“ bezeichnet, fungiert als Erstzugangsmakler, findet anfällige Organisationen und verkauft den Zugang zu ihren Netzwerken an den Meistbietenden. Indem sie den anfänglichen Zugriff auf das Netzwerk eines Opfers vergeben, können sich Ransomware-Banden wie Conti auf die Ausführungsphase eines Angriffs konzentrieren.
Im Fall von Exotic Lily wurde dieser anfängliche Zugang durch E-Mail-Kampagnen erlangt, in denen sich die Gruppe durch den Einsatz von Domain- und Identitäts-Spoofing als legitime Organisationen und Mitarbeiter ausgab. In den meisten Fällen war eine gefälschte Domain fast identisch mit dem echten Domainnamen einer bestehenden Organisation, änderte aber die Top-Level-Domains in „.us“, „.co“ oder „.biz“. Um als legitime Angestellte zu erscheinen, richtete Exotic Lily Profile in sozialen Medien und KI-generierte Bilder menschlicher Gesichter ein.
Die Angreifer, von denen Google glaubt, dass sie aufgrund der Arbeitszeiten der Angreifer von Mittel- oder Osteuropa aus operieren, würden dann unter dem Vorwand eines Geschäftsvorschlags Spear-Phishing-E-Mails versenden, bevor sie schließlich eine Nutzlast auf einen öffentlichen Filesharing-Dienst wie z B. WeTransfer oder Microsoft OneDrive.
„Dieses Maß an menschlicher Interaktion ist für Cyberkriminalitätsgruppen, die sich auf Massenoperationen konzentrieren, eher ungewöhnlich“, bemerken die Google-Forscher Vlad Stolyarov und Benoit Sevens in einem Blogbeitrag, der vor der Veröffentlichung mit Tech geteilt wurde.
Diese schädlichen Payloads nahmen zunächst die Form von Dokumenten an, die einen Exploit für einen Zero-Day in der MSHTML-Browser-Engine von Microsoft enthielten (verfolgt als CVE-2021-40444), bevor die Angreifer auf die Lieferung von ISO-Disk-Images mit versteckten BazarLoader-Payloads umstellten. Google-Forscher sagen, dass diese Verschiebung die Beziehung von Exotic Lily zu einer russischen Cyberkriminalitätsgruppe bestätigt, die als Wizard Spider (auch bekannt als UNC1878) verfolgt wird und mit der berüchtigten Ryuk-Ransomware in Verbindung steht, die verwendet wurde, um Unternehmen, Krankenhäuser – einschließlich der in den USA ansässigen Universal Health Services – anzugreifen — und Regierungsinstitutionen seit 2018.
Während die Art dieser Beziehung unklar bleibt, sagt Google, dass Exotic Lily anscheinend als separate Einheit operiert und sich darauf konzentriert, den anfänglichen Zugriff durch E-Mail-Kampagnen zu erhalten, mit Folgeaktivitäten, die den Einsatz von Conti- und Diavol-Ransomware umfassen.
Exotic Lily, das erstmals im September 2021 beobachtet wurde und noch heute aktiv ist, hat während des Höhepunkts seiner Aktivität mehr als 5.000 Phishing-E-Mails pro Tag an bis zu 650 Organisationen gesendet, sagte Google. Während die Gruppe zunächst bestimmte Branchen wie IT, Cybersicherheit und Gesundheitswesen ins Visier zu nehmen schien, hat sie in jüngerer Zeit damit begonnen, eine Vielzahl von Organisationen und Branchen anzugreifen, mit weniger spezifischem Fokus.
Google hat auch Indikatoren für Kompromittierung (IOCs) aus der groß angelegten E-Mail-Kampagne von Exotic Lily geteilt, um Unternehmen bei der Verteidigung ihrer Netzwerke zu unterstützen.