Google Mengungkap Keterkaitan Broker Akses Awal dengan Conti Ransomware
Grup Analisis Ancaman (TAG) Google mengungkap keterkaitan broker akses awal dengan geng kejahatan siber Rusia yang terkenal dengan operasi ransomware Conti dan Diavol.
Dijuluki Exotic Lily, aktor ancaman bermotivasi finansial, diamati mengeksploitasi kelemahan kritis yang sekarang telah ditambal di platform Microsoft Windows MSHTML (CVE-2021-40444) sebagai bagian dari kampanye phishing yang tersebar luas yang melibatkan pengiriman tidak kurang dari 5.000 email bertema proposal bisnis per hari ke 650 organisasi yang ditargetkan di seluruh dunia.
"Broker akses awal adalah tukang kunci oportunistik dari dunia keamanan," kata peneliti TAG Vlad Stolyarov dan Vlad Stolyarov. "Kelompok-kelompok ini mengkhususkan diri dalam membobol target untuk membuka pintu - atau jendela - untuk aktor jahat dengan tawaran tertinggi."
Exotic Lily, ditemukan pada September 2021, dikatakan telah terlibat dalam eksfiltrasi data dan penyebaran strain ransomware Conti dan Diavol yang dioperasikan manusia, keduanya tumpang tindih dengan sindikat cybercriminal Rusia yang dikenal sebagai Wizard Spider, yang juga bertanggung jawab. untuk TrickBot, BazarBackdoor, dan Anchor.
Umpan rekayasa sosial aktor ancaman, yang dikirim melalui akun email palsu, terutama menargetkan sektor TI, keamanan siber, dan perawatan kesehatan, sementara serangan menjadi lebih membabi buta mulai November 2021, menargetkan berbagai bisnis dan industri.
Exotic Lily telah menggunakan platform berbagi file legal seperti WeTransfer, TransferNow, dan OneDrive untuk mengirim muatan BazarBackdoor untuk menghindari sistem deteksi selain memanfaatkan perusahaan dan identitas palsu untuk mengembangkan kepercayaan dengan target yang ditargetkan.
Identitas nakal sering berpura-pura menjadi pekerja perusahaan seperti Amazon, penuh dengan profil media sosial palsu di LinkedIn dan gambar profil yang dibuat oleh AI. Organisasi ini juga dituduh menyamar sebagai karyawan perusahaan yang sebenarnya dengan mencuri informasi pribadi dari media sosial dan database komersial seperti RocketReach dan CrunchBase.
"Pada tahap akhir, penyerang akan mengunggah muatan ke layanan berbagi file publik (TransferNow, TransferXL, WeTransfer, atau OneDrive) dan kemudian menggunakan fitur pemberitahuan email bawaan untuk membagikan file dengan target, memungkinkan final email yang berasal dari alamat email layanan berbagi file yang sah daripada alamat email penyerang, yang menghadirkan tantangan deteksi tambahan," tulis para peneliti.
Pemuat khusus bernama Bumblebee juga dikirim melalui eksploitasi MHTML dan dikoreografikan untuk mengumpulkan dan mengekstrak informasi sistem ke server jarak jauh, yang membalas dengan arahan untuk mengeksekusi shellcode dan memulai executable tahap berikutnya, termasuk Cobalt Strike.
Pemeriksaan aktivitas komunikasi Exotic Lily mengungkapkan bahwa pelaku ancaman melakukan "pekerjaan normal dari jam 9 sampai jam 5" pada hari kerja dan mungkin berbasis di Eropa Tengah atau Timur.
"EXOTIC LILY tampaknya berfungsi sebagai entitas yang terpisah, berfokus untuk mendapatkan akses awal melalui kampanye email, dengan operasi lanjutan seperti penyebaran Conti dan Diavol ransomware, yang dijalankan oleh kumpulan aktor yang berbeda," para peneliti menemukan.