Google’ın Tehdit Analizi Grubu, detaylı Hedef ağına sızan ve elde edilen erişimi yeniden satan Exotic Lily adlı bir grubun etkinliği.
Hedeflere ulaşmak için tercih edilen yöntem zıpkınla kimlik avıdır. Grup günde yaklaşık 5.000 e-posta gönderir ve alıcıları kandırmak için farklı TLD’lerle (örneğin, example.com kullanıcıları için example.co kullanarak) benzer etki alanları oluşturur.
Grup ayrıca sahte profiller kullanmaya başladı ve kullanıcıları taklit etmek için RocketReach ve CrunchBase gibi sitelerden halka açık verileri hacklemekten çekinmiyor.
Exotic Lily ayrıca, kullanıcılara kötü amaçlı yazılım dağıtmak ve bu siteler meşru olduğu için savunmacılar için tespit edilmesini zorlaştırmak için TransferNow, TransferXL, WeTransfer veya OneDrive gibi genel dosya paylaşım sitelerini de kullandı.
Google, “Bu grubun etkinliğini araştırırken, Fin12 (Mandiant, FireEye) / Wizard Spider (CrowdStrike) olarak bilinen Rus siber suçlular grubuyla çalışıyor gibi görünen bir ilk erişim komisyoncusu olduğunu belirledik” dedi.
“Egzotik Lily, faaliyetleri veri hırsızlığı ve Conti ve Diavol gibi elle çalıştırılan fidye yazılımlarının dağıtımıyla yakından bağlantılı görünen, becerikli, finansal odaklı bir gruptur.”
Grup ayrıca iş ve özel hayat arasında belirli bir dengeyi koruyor gibi görünüyor: gözlemlenen faaliyet, Doğu veya Orta Avrupa’da tipik olarak sabah 9’dan akşam 5’e kadar olan ve hafta sonları çok az faaliyet gösteren bir iş.
Grubun fidye yazılımı gruplarıyla bağları olmasına rağmen, Google, Exotic Lily’nin yalnızca erişimle ilgilenen ayrı bir varlık olduğunu ve diğer grupların fidye yazılımı operasyonlarını ele aldığını söyledi.
Keşfedilmesinin ardından Google, web sitesi iletişim formlarından gelen e-postalar için Gmail’de ek bir uyarı uygulayacağını, sızdırma tanımlamasını iyileştireceğini ve e-posta bildirimlerinin itibarını ayarlayacağını söyledi. e-posta ile dosya paylaşımı.
Kaynak: “ZDNet.com”