Google araştırmacıları, Conti fidye yazılımı grubu adına çalışan bir ilk erişim komisyoncusunun (diğerlerinin yanı sıra), her gün yüzlerce kuruluşu hedef aldığını ve Windows için tescilli bir tarayıcı motoru olan MSHTML’deki bir kusurdan yararlandığını söylüyor.
Google’ın Tehdit Analizi Grubu, elde edilen erişimi en yüksek teklifi verene satmadan önce, ilk erişim komisyoncusu olarak çalışan ve hedef ağları ihlal eden “Egzotik Lily” adlı bir grup buldu.
Fidye yazılımı operatörleri, tamamen fidye yazılımının kendisinin dağıtımına ve ardından fidye ödemesine doğru ilerlemeye odaklanmak için genellikle ilk erişim çabalarını dış kaynaklardan temin eder.
Sahte LinkedIn dolandırıcılığı
Google, Egzotik Lily’nin taktiklerinde nispeten gelişmiş olduğunu ve kitlesel bir operasyon için “olağandışı” miktarlarda homurdanma kullandığını iddia ediyor.
Grup, meşru bir iş gibi görünmek için alan ve kimlik sahtekarlığını kullanır ve genellikle bir iş teklifini taklit eden kimlik avı e-postaları gönderir. Ayrıca, kampanyanın güvenilirliğine yardımcı olacak sahte LinkedIn hesapları oluşturmak için insanların otantik görüntülerini oluşturmak için halka açık Yapay Zeka (AI) araçlarını kullanacaklardı.
İlk temas kurulduktan sonra, tehdit aktörü, virüsten koruma programları tarafından algılanmayı önlemek ve hedef uç noktaya teslim şansını artırmak için WeTransfer gibi bir genel dosya paylaşım hizmetine kötü amaçlı yazılım yükler. Genellikle silahlı bir belge olan kötü amaçlı yazılım, Microsoft’un MSHTML tarayıcı motorunda CVE-2021-40444 olarak izlenen bir sıfır günden yararlanır. İkinci aşama konuşlandırma genellikle BazarLoader’ı taşıyordu.
Google’ın araştırmacıları, grubun tek başına durduğuna ve daha yüksek teklif veren için çalıştığına inanıyor. Şimdiye kadar, Wizard Spider (Ryuk fidye yazılımı için iddia edilen bir operatör) gibi bir şişme olan Conti, Diavol ile bağlantılıydı.
Google, Exotic Lily’nin ilk olarak geçen yıl Eylül ayında görüldüğünü ve en yüksek performansta 650’den fazla kuruluşa 5.000’den fazla kimlik avı e-postası gönderebildiğini iddia ediyor. Görünüşe göre tehdit aktörü, son zamanlarda biraz daha büyük bir ağ oluşturmasına rağmen, çoğunlukla BT, siber güvenlik ve sağlık alanındaki firmalara odaklanıyor.
Üzerinden: TechCrunch
