Google cho thấy ‘Nhà môi giới truy cập ban đầu’ làm việc với Conti Ransomware Gang

Nhóm phân tích mối đe dọa của Google (TAG) đã kết thúc tốt đẹp với một nhà môi giới truy cập ban đầu mới mà họ cho là có liên kết chặt chẽ với một băng nhóm của Nga nổi tiếng với các hoạt động ransomware Conti và Diavol.

Được mệnh danh là Exotic Lily, kẻ đe dọa có động cơ tài chính đã được quan sát khai thác một lỗ hổng nghiêm trọng hiện đã được vá trong nền tảng Microsoft Windows MSHTML (CVE-2021-40444) như một phần của các chiến dịch lan rộng liên quan đến việc gửi không dưới 5.000 email theo chủ đề đề xuất kinh doanh một ngày cho 650 tổ chức được nhắm mục tiêu trên toàn cầu.

“Các nhà môi giới truy cập ban đầu là những thợ khóa cơ hội của thế giới an ninh và đó là công việc toàn thời gian”, các nhà nghiên cứu Vlad Stolyarov và Vlad Stolyarov của TAG cho biết. “Các nhóm này chuyên xâm phạm mục tiêu để mở cửa – hoặc Windows – cho kẻ độc hại với giá thầu cao nhất.”

Exotic Lily, được phát hiện lần đầu tiên vào tháng 9 năm 2021, được cho là đã tham gia vào quá trình lọc và triển khai dữ liệu của các chủng ransomware Conti và Diavol do con người vận hành, cả hai đều trùng lặp với tổ chức tội phạm mạng của Nga có tên là Wizard Spider, cũng được biết đến với việc vận hành TrickBot , BazarBackdoor và Anchor.

Xem tiếp:   Các chuyên gia tạo bản sao Apple AirTag có thể vượt qua các biện pháp chống theo dõi

Các chiêu dụ kỹ thuật xã hội của kẻ đe dọa, được gửi từ các tài khoản email giả mạo, đã đặc biệt chỉ ra các lĩnh vực CNTT, an ninh mạng và chăm sóc sức khỏe, mặc dù sau tháng 11 năm 2021, các cuộc tấn công đã trở nên bừa bãi hơn, nhắm vào nhiều tổ chức và ngành công nghiệp khác nhau.

Bên cạnh việc sử dụng các công ty hư cấu và danh tính như một phương tiện để xây dựng lòng tin với các thực thể được nhắm mục tiêu, Exotic Lily đã tận dụng các dịch vụ chia sẻ tệp hợp pháp như WeTransfer, TransferNow và OneDrive để phân phối tải trọng BazarBackdoor nhằm trốn tránh các cơ chế phát hiện.

Những kẻ giả mạo thường đóng giả là nhân viên của các công ty như Amazon, với các hồ sơ lừa đảo trên mạng xã hội trên LinkedIn có các ảnh hồ sơ giả do AI tạo. Nhóm này cũng được cho là đã mạo danh nhân viên thực của công ty bằng cách xóa dữ liệu cá nhân của họ khỏi các phương tiện truyền thông xã hội và cơ sở dữ liệu kinh doanh như RocketReach và CrunchBase.

“Ở giai đoạn cuối cùng, kẻ tấn công sẽ tải trọng tải lên dịch vụ chia sẻ tệp công khai (TransferNow, TransferXL, WeTransfer hoặc OneDrive) và sau đó sử dụng tính năng thông báo email tích hợp để chia sẻ tệp với mục tiêu, cho phép gửi email cuối cùng. bắt nguồn từ địa chỉ email của một dịch vụ chia sẻ tệp hợp pháp chứ không phải email của kẻ tấn công, điều này gây ra những thách thức phát hiện bổ sung “, các nhà nghiên cứu cho biết.

Xem tiếp:   Google làm gián đoạn Botnet Glupteba dựa trên Blockchain; Kiện tin tặc Nga

Cũng được phân phối bằng cách sử dụng khai thác MHTML là một trình tải tùy chỉnh có tên Bumblebee được điều khiển để thu thập và lấy thông tin hệ thống đến một máy chủ từ xa, máy chủ này sẽ phản hồi lại các lệnh để thực thi shellcode và chạy các tệp thực thi ở giai đoạn tiếp theo, bao gồm cả .

Một phân tích về hoạt động giao tiếp của Exotic Lily chỉ ra rằng những kẻ đe dọa có “công việc điển hình từ 9 đến 5” vào các ngày trong tuần và có thể đang làm việc từ múi giờ Trung hoặc Đông Âu.

“EXOTIC LILY dường như hoạt động như một thực thể riêng biệt, tập trung vào việc có được quyền truy cập ban đầu thông qua các chiến dịch email, với các hoạt động tiếp theo bao gồm triển khai Conti và Diavol ransomware, được thực hiện bởi một nhóm tác nhân khác nhau”, các nhà nghiên cứu kết luận.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …