Ein Initial-Access-Broker, der (neben vielen anderen) im Auftrag der Ransomware-Firma Conti arbeitet, nimmt laut Google-Wissenschaftlern täglich Hunderte von Organisationen ins Visier und nutzt dabei einen Fehler in MSHTML aus, einer proprietären Browser-Engine für Windows.
Das Bedrohungsanalyseteam von Google entdeckte einen Computer namens „Exotic Lily“, der als Erstzugangsvermittler fungierte und in Zielnetzwerke eindrang, bevor er den erworbenen Zugang an den Meistbietenden verkaufte.
Ransomware-Betreiber lagern die anfänglichen Zugriffsopfer oft aus, um sich ganz auf die Bereitstellung der Ransomware selbst und den nächsten Vorstoß zur Zahlung des Lösegelds zu konzentrieren.
Gefälschter LinkedIn-Betrug
Exotic Lily sei in seiner Taktik teilweise fortgeschritten und verwende „ungewöhnlich“ viel harte Arbeit für eine groß angelegte Operation, behauptet Google.
Die Gruppe nutzte Domain- und Identitätsdiebstahl, um sich als legitimes Unternehmen auszugeben und Phishing-E-Mails zu versenden, wobei sie im Allgemeinen ein kommerzielles Angebot vortäuschte. Sie würden auch öffentlich verfügbare Tools der künstlichen Intelligenz (KI) nutzen, um echte Bilder von Menschen zu erstellen und gefälschte LinkedIn-Konten zu erstellen, was zur Glaubwürdigkeit der Kampagne beitragen würde.
Sobald der erste Kontakt hergestellt ist, lädt der Bedrohungsakteur die Malware auf einen öffentlichen Dateifreigabedienst wie WeTransfer hoch, um der Erkennung durch Antivirenprogramme zu entgehen und die Wahrscheinlichkeit einer Übertragung auf das Zielgerät zu erhöhen. Die Malware, in der Regel ein manipuliertes Dokument, nutzt einen Zero-Day in der MSHTML-Browser-Engine von Microsoft aus, der als CVE-XNUMX-XNUMX verfolgt wird. Der Einsatz der zweiten Stufe umfasste im Allgemeinen den BazarLoader.
Google-Forscher gehen davon aus, dass die Gruppe unabhängig ist und für den Meistbietenden arbeitet. Bisher wurde er mit Conti, Diavol und einer Welle wie Wizard Spider (einem mutmaßlichen Betreiber der Ryuk-Ransomware) in Verbindung gebracht.
Exotic Lily wurde erstmals im September letzten Jahres entdeckt und ist laut Google bei Höchstleistung in der Lage, mehr als XNUMX Phishing-E-Mails an mehr als XNUMX Organisationen zu versenden. Der Bedrohungsakteur scheint sich in erster Linie auf IT-, Cybersicherheits- und Gesundheitsunternehmen zu konzentrieren, obwohl er in letzter Zeit ein etwas breiteres Netz auswirft.
Via: TechCrunch