Scopriamo Exotic Lily, il broker di accesso di Conti e Diavol

Redazione RHC : 19 Marzo 2022 08:24

Gli esperti del Google Threat Analysis Group (TAG) hanno presentato un rapporto dettagliato sul gruppo di hacker Exotic Lily, che è un broker di accesso e collabora con noti estorsionisti come Conti e Diavol.

I ricercatori si sono interessati a Exotic Lily quando hanno notato che la gang criminale stavano sfruttando una vulnerabilità di 0day in Microsoft MSHTML (CVE-2021-40444), che li caratterizzava come criminali di grande esperienza.

A quanto pare, Exotic Lily sono broker di accesso che utilizzano campagne di phishing su larga scala per entrare in reti aziendali mirate e quindi vendere l’accesso a queste reti ai loro “clienti” (di solito operatori di ransomware). 

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Al suo apice, il gruppo inviava oltre 5.000 mail a 650 organizzazioni al giorno.

Gli analisti di TAG scrivono che gli aggressori di solito lavorano dalle 09:00 alle 17:00 nei giorni feriali e sono molto poco attivi nei fine settimana. 

Anche se può sembrare strano che i criminali svolgano lavori regolari, recenti fughe di dati relativi al gruppo di hacker Conti hanno dimostrato che molti gruppi di hacker operano come normali società: i loro membri si prendono giorni di ferie, fanno rapporto ai manager e ricevono uno stipendio.

Gli attacchi di Exotic Lily seguono lo stesso schema e di solito iniziano con la registrazione di un dominio falso, che viene quindi utilizzato per inviare e-mail e stabilire un contatto con il bersaglio, e solo dopo che un payload viene condiviso con la vittima attraverso un servizio di condivisione di file.

Gli aggressori si impegnano molto per creare un falso senso di legittimità. 

Ad esempio, i domini che utilizzano sono generalmente gli stessi del nome di dominio effettivo dell’organizzazione, ma sono registrati in zone diverse, tra cui .us, .co o .biz. Gli indirizzi e-mail per i loro invii sono ottenuti da criminali da fonti aperte o utilizzano moduli di contatto sui siti Web. 

I membri di Exotic Lily creano anche account falsi su LinkedIn utilizzando profili generati dall’IA o foto rubate di dipendenti reali per tali profili.

Quando e se la vigilanza della vittima viene placata, gli hacker condividono con loro un collegamento per scaricare un determinato file tramite TransferNow, TransferXL, WeTransfer o OneDrive. 

Pertanto, gli hacker distribuiscono il malware BazarLoader alle loro vittime.

Di norma, il malware è mascherato da un normale documento (che in precedenza ha tentato di sfruttare la suddetta vulnerabilità CVE-2021-40444). Successivamente, gli aggressori hanno recentemente modificato il vettore di consegna del malware e hanno iniziato a utilizzare archivi ISO contenenti DLL BazarLoader e scorciatoie LNK.

Gli analisti di Google hanno trovato segni di personalizzazione in questi campioni, ma ciò potrebbe essere stato fatto da altri hacker che forniscono il malware Exotic Lily. Il rapporto afferma che recentemente il gruppo continua a utilizzare i file ISO, ma ora contengono anche DLL e un bootloader personalizzato, che è una versione migliorata del bootloader di prima fase utilizzato già in precedenza.

Questo charger distribuisce il malware Bumblebee, che utilizza le WMI per raccogliere e trasferire informazioni di sistema al server di comando e controllo. 

Bumblebee è in grado di ricevere comandi remoti, nonché di scaricare ed eseguire payload aggiuntivi, tra i quali sono già stati trovati i file Cobalt Strike.

Sebbene l’attività di Exotic Lily sia strettamente legata al gruppo di hacker Conti, gli esperti di TAG ritengono che si tratti di gruppi separati che cooperano tra loro.

“Sebbene la natura della relazione (con altre band) rimane poco chiara, EXOTIC LILY sembra operare come un’entità separata focalizzata sull’ottenimento di un’esposizione iniziale attraverso campagne e-mail. Le azioni di follow-up includono il dispiegamento del ransomware Conti e Diavol, cosa che altri criminali stanno già facendo “

scrivono gli esperti.

In un’intervista con i giornalisti di Bleeping Computer, i ricercatori hanno aggiunto che in recenti fughe di notizie relative al gruppo di hacker Conti, si possono trovare ripetuti riferimenti ad alcuni gruppi affiliati, ovvero “broker di accesso”, come risorse esterne.

“La maggior parte di questi broker non sembra essere presente (o attiva) nella chat, il che ci porta a concludere che operano come entità separata”

affermano i ricercatori.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli