Google’ın Tehdit Analizi Grubu, Conti fidye yazılımı çetesi de dahil olmak üzere Rus bilgisayar korsanları için aracı olarak çalışan finansal olarak motive edilmiş bir tehdit aktörü gözlemledi.
Google’ın “Egzotik Lily” olarak adlandırdığı grup, ilk erişim komisyoncusu olarak hareket eder, savunmasız kuruluşları bulur ve ağlarına erişimi en yüksek teklifi verene satar. Conti gibi fidye yazılımı çeteleri, kurbanın ağına ilk erişimi devrederek, bir saldırının yürütme aşamasına odaklanabilir.
Egzotik Lily örneğinde, bu ilk erişim, grubun etki alanı ve kimlik sahtekarlığı yoluyla meşru kuruluşlar ve çalışanlar olarak maskelendiği e-posta kampanyaları aracılığıyla elde edildi. Çoğu durumda, sahte alan adı, mevcut bir kuruluşun gerçek alan adıyla neredeyse aynıydı, ancak üst düzey alan adları “.us”, “.co” veya “.biz” olarak değiştirildi. Egzotik Lily, meşru çalışanlar olarak görünmek için sosyal medya profilleri ve yapay zeka tarafından oluşturulan insan yüzleri görüntüleri oluşturdu.
Google’ın tehdit aktörlerinin çalışma saatleri nedeniyle Orta veya Doğu Avrupa’dan faaliyet gösterdiğine inandığı saldırganlar, daha sonra bir iş teklifi bahanesi altında hedef odaklı kimlik avı e-postaları gönderecek ve nihayetinde bir kamuya açık dosya paylaşım hizmetine bir yük yüklemeden önce. WeTransfer veya Microsoft OneDrive olarak.
Google araştırmacıları Vlad Stolyarov ve Benoit Sevens, yayınlanmadan önce TechCrunch ile paylaşılan bir blog gönderisinde, “Bu düzeyde insan etkileşimi, kitlesel operasyonlara odaklanan siber suç grupları için oldukça sıra dışı” diyor.
Bu kötü niyetli yükler başlangıçta Microsoft’un MSHTML tarayıcı motorunda sıfır gün için bir istismar içeren belgeler şeklini aldı (CVE-2021-40444 olarak izlendi), saldırganlar gizli BazarLoader yüklerini içeren ISO disk görüntülerinin teslimine geçmeden önce. Google araştırmacıları, bu değişikliğin Exotic Lily’nin ABD merkezli Evrensel Sağlık Hizmetleri de dahil olmak üzere işletmeleri ve hastaneleri hedef almak için kullanılan kötü şöhretli Ryuk fidye yazılımıyla bağlantılı olan Sihirbaz Örümcek (UNC1878 olarak da bilinir) olarak izlenen bir Rus siber suç grubuyla ilişkisini doğruladığını söylüyor. – ve 2018’den beri devlet kurumları.
Bu ilişkinin doğası belirsizliğini koruyor olsa da Google, Exotic Lily’nin Conti ve Diavol fidye yazılımının dağıtımını içeren takip faaliyetleriyle e-posta kampanyaları aracılığıyla ilk erişim elde etmeye odaklanan ayrı bir varlık olarak faaliyet gösterdiğini söylüyor.
Google, ilk olarak Eylül 2021’de gözlemlenen ve bugün hala aktif olan Exotic Lily’nin, etkinliğinin zirvesi sırasında 650’ye yakın kuruluşa günde 5.000’den fazla kimlik avı e-postası gönderdiğini söyledi. Grup başlangıçta BT, siber güvenlik ve sağlık gibi belirli sektörleri hedef alıyor gibi görünse de, son zamanlarda çok çeşitli kuruluşlara ve sektörlere, daha az belirli bir odaklanma ile saldırmaya başladı.
Google ayrıca, kuruluşların ağlarını savunmasına yardımcı olmak için Exotic Lily’nin büyük ölçekli e-posta kampanyasından taviz verme göstergelerini (IOC’ler) paylaştı.