nie daj się cyberzbójom! – zapisz się bezpłatne szkolenie o bezpieczeństwie dla wszystkich

EXOTIC LILY sprzedaje grupie Conti dostępy do infrastruktury ofiar

23 marca 2022, 12:47 | W biegu | 0 komentarzy

Na blogu Google TAG (ang. Threat Analysis Group) opublikowana została analiza grupy EXOTIC LILY. Jest to aktor działający z żądzy zysku (ang. financially motivated), który pozyskuje i sprzedaje dostęp do infrastruktury ofiar (ang. initial access), pełniąc jednocześnie funkcję brokera (sprzedawcy) dla innych grup, w tym Conti. Wcześniej niektóre aspekty działalności EXOTIC LILY opisywali analitycy z Microsoftu oraz z firmy Abnormal

EXOTIC LILY activities overlap with a group tracked as DEV-0413 (Microsoft) and were also described by Abnormal in their recent post. Earlier reports of attacks exploiting CVE-2021-40444 (by Microsoft and other members of the security community) have also indicated overlaps between domains involved in the delivery chain of an exploit and infrastructure used for BazarLoader and Trickbot distribution.

We believe the shift to deliver BazarLoader, along with some other indicators such as a unique Cobalt Strike profile (described by RiskIQ) further confirms the existence of a relationship between EXOTIC LILY and actions of a Russian cyber crime group tracked as WIZARD SPIDER (CrowdStrike), FIN12 (Mandiant, FireEye) and DEV-0193 (Microsoft). While the nature of those relationships remains unclear, EXOTIC LILY seems to operate as a separate entity, focusing on acquiring initial access through email campaigns, with follow-up activities that include deployment of Conti and Diavol ransomware, which are performed by a different set of actors.

– Google TAG

BazarLoader i grupa Conti

Grupa Conti zaszyfrowała m.in. irlandzkie szpitale, a według ostatnich doniesień, ma być również na usługach rosyjskiej FSB

Conti jest również jedną z bardzo dobrze zarabiających grup. Na jej portfel główny  w 2021 r. miały wpłynąć środki o równowartości przynajmniej 175 mln dolarów (ok. 740 mln złotych). Dodatkowo, administrator grupy Conti o ps. stern dawniej administrował grupą Ryuk i pobierał prowizję od okupów płaconych na rzecz obu tych grup.

Już we wrześniu 2021 r., czyli w momencie ogłoszenia CVE-2021-40444, publikowane były opisy BazarLoadera, który był wykorzystywany w atakach przez grupę Conti. Atakujący rozsyłali złośliwe załączniki, w tym pliki WORD oraz EXCEL. Wystarczały 32 godziny, aby przeprowadzić atak od wykonania złośliwego BazarLoadera przez kradzież danych, aż do zaszyfrowania infrastruktury ofiary.

Rysunek 1. Przebieg ataku na osi czasu (The DFIR Report)

EXOTIC LILY

Grupa w szczytowym momencie miała wysyłać więcej niż 5 tys. maili phishingowych dziennie do nawet 650 organizacji na całym świecie. Początkowo celowała w firmy z branży IT, cyberbezpieczeństwa oraz opieki zdrowotnej.

Kampanie phishingowe prowadzone najprawdopodobniej przez operatorów (ang. human operated), wiadomości e-mail, gdzie atakujący podawali się za konkretnych pracowników faktycznie istniejących podmiotów. 

Operatorzy (spamerzy) mieli pracować przez ok. 8 godzin dziennie w dni robocze. Godziny aktywności wskazują na lokalizację w Europie Środkowej lub Wschodniej. Do obowiązków spamerów miało należeć:

  • customizing the initial “business proposal” templates when first reaching out to a targeted organization;
  • handling further communications in order to gain affinity and trust; 
  • uploading malware (acquired from another group) to a file-sharing service prior to sharing it with the target.

Rysunek 2. Godziny aktywności spamerów EXOTIC LILY (Google)

Informacje pozyskiwane były z ogólnodostępnych baz danych oraz stron internetowych podmiotów, pod które się podszywano.

Rysunek 3. Pozyskiwanie zaufania ofiar (Google)

Poza kradzieżą tożsamości rzeczywistych pracowników podmiotów, pod które podszywali się operatorzy EXOTIC LILY, tworzono również fałszywe profile tych osób.

Rysunek 4. Fałszywy profil Linkedin (Google)

Następnie, operatorzy EXOTIC LILY prowadzili korespondencję z potencjalną ofiarą, zyskując zaufanie przed wysłaniem ostatecznej wiadomości ze złośliwym payloadem.

Rysunek 5. Wiadomość do ofiary (Google)

Pliki ze złośliwym payloadem miały być umieszczane na popularnych serwisach do udostępniania plików, w tym Transfernow i OneDrive.

Rysunek 6. Wiadomość ze złośliwym plikiem (Google)

Złośliwy payload początkowo dostarczany był w spreparowanych dokumentach Microsoft Office z eksploitem dla CVE-2021-40444, o którym pisaliśmy tutaj. Podatność umożliwiała zdalne wykonanie kodu (ang. Remote Code Execution) na urządzeniu ofiary.

/ youtube / https://youtu.be/oM6UaaXJ46I 

W późniejszym etapie, grupa EXOTIC LILY wykorzystywała spreparowane pliki ISO z zaszytym BazarLoaderem. Zdaniem Google przeanalizowane próbki wskazują, że pliki zostały przygotowane specjalne na zamówienie EXOTIC LILY. Wprawdzie metadane, takie jak Machine Identifier oraz Drive Serial Number, są identyczne, ale argumenty, z którymi wykonywany jest złośliwy payload, są unikatowe.

Rysunek 7. Artefakty (Google)

Złośliwe załączniki dystrybuowane w marcu zawierały zmodyfikowaną wersję uzbrojonego załącznika, który w bardziej zaawansowany sposób wykorzystywał podatność CVE-2021-40444. Nowy malware (BUMBLEBEE):

The malware, hence dubbed BUMBLEBEE, uses WMI to collect various system details such as OS version, user name and domain name, which are then exfiltrated in JSON format to a C2. In response, it expects to receive one of the several supported “tasks”, which include execution of shellcode, dropping and running executable files. At the time of the analysis, BUMBLEBEE was observed to fetch Cobalt Strike payloads.

-Google TAG

IoC od Google

Recent domains used in email campaigns: 

conlfex[.]com

avrobio[.]co

elemblo[.]com

phxmfg[.]co

modernmeadow[.]co

lsoplexis[.]com

craneveyor[.]us

faustel[.]us

lagauge[.]us

missionbio[.]us

richllndmetals[.]com

kvnational[.]us

prmflltration[.]com

brightlnsight[.]co

belcolnd[.]com

awsblopharma[.]com

amevida[.]us

revergy[.]us

al-ghurair[.]us

opontia[.]us

BazarLoader ISO samples:

5ceb28316f29c3912332065eeaaebf59f10d79cd9388ef2a7802b9bb80d797be

9fdec91231fe3a709c8d4ec39e25ce8c55282167c561b14917b52701494ac269

c896ee848586dd0c61c2a821a03192a5efef1b4b4e03b48aba18eedab1b864f7

Recent BUMBLEBEE ISO samples:

9eacade8174f008c48ea57d43068dbce3d91093603db0511467c18252f60de32

6214e19836c0c3c4bc94e23d6391c45ad87fdd890f6cbd3ab078650455c31dc8

201c4d0070552d9dc06b76ee55479fc0a9dfacb6dbec6bbec5265e04644eebc9

1fd5326034792c0f0fb00be77629a10ac9162b2f473f96072397a5d639da45dd

01cc151149b5bf974449b00de08ce7dbf5eca77f55edd00982a959e48d017225

Recent BUMBLEBEE C2:

23.81.246[.]187:443

~anna@sekurak.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz