Ein Initial Access Broker, der (neben vielen anderen) im Auftrag der Conti-Ransomware-Suite arbeitet, zielt laut Google Scholars jeden Tag auf Hunderte von Unternehmen ab und nutzt einen Fehler in MSHTML aus, einer proprietären Browser-Engine für Windows.

Die Bedrohungsanalyse-Suite von Google fand eine Suite namens „Exotic Lily“, die als Initial Access Broker fungierte und Zielnetzwerke durchbrach, bevor sie den gekauften Zugang an den Meistbietenden verkaufte.

Ransomware-Betreiber lagern häufig die anfänglichen Zugriffsopfer aus, um sich vollständig auf die Bereitstellung der Ransomware selbst und den nächsten Lösegeldschub zu konzentrieren.

Gefälschter LinkedIn-Betrug

Exotic Lily war in seiner Taktik teilweise fortgeschritten und verwendet "seltene" Mengen an harter Arbeit für eine groß angelegte Operation, behauptet Google.

Die Gruppe nutzte Domänen- und Identitätsdiebstahl, um sich als legitimes Unternehmen auszugeben und Phishing-E-Mails zu versenden, die normalerweise ein kommerzielles Angebot simulierten. Sie würden auch kostenlose Tools für künstliche Intelligenz (KI) in der Öffentlichkeit verwenden, um echte Bilder von Menschen zu erstellen und gefälschte LinkedIn-Konten zu erstellen, was der Glaubwürdigkeit der Kampagne förderlich wäre.

Sobald der erste Kontakt hergestellt ist, lädt der Bedrohungsakteur die Malware auf einen öffentlichen Dateifreigabedienst wie WeTransfer hoch, um der Erkennung durch Antivirenprogramme zu entgehen und die Wahrscheinlichkeit einer Übertragung auf das Zielgerät zu erhöhen. Die Malware, typischerweise ein bewaffnetes Dokument, nutzt einen Zero-Day in der MSHTML-Browser-Engine von Microsoft aus, die als CVE-XNUMX-XNUMX verfolgt wird. Der Einsatz der zweiten Stufe trug normalerweise den BazarLoader.

Google-Gelehrte denken, dass das Set unabhängig ist und für den Meistbietenden funktioniert. Bisher wurde er mit Conti, Diavol, einer großen Größe wie Wizard Spider (einem mutmaßlichen Ryuk-Ransomware-Betreiber) in Verbindung gebracht.

Exotic Lily wurde erstmals im September letzten Jahres entdeckt und kann laut Google bei Spitzenleistung mehr als XNUMX Phishing-E-Mails an mehr als XNUMX Organisationen senden. Der Bedrohungsakteur scheint sich hauptsächlich auf IT-, Cybersicherheits- und Gesundheitsunternehmen zu konzentrieren, obwohl er in letzter Zeit ein etwas breiteres Netz ausgeworfen hat.

Via: TechCrunch

Teilen Sie es