Google a identifié un nouveau groupe de cybercriminalité spécialisé dans la fourniture d’un accès initial aux réseaux cibles par le biais de campagnes de phishing hautement personnalisées et non automatisées et semble avoir une relation de travail avec FIN12, un gang de cybercriminalité russe bien connu.
Contrairement à de nombreux autres groupes de ce type, l’équipe découverte par Google n’utilise pas d’outils de messagerie automatisés pour spammer les messages génériques avec des lignes d’objet et un corps de texte standard. Plutôt, ce groupe, que Google a nommé Lys exotique, prend le temps de rechercher ses organisations cibles potentielles, de mettre en place de nouveaux domaines qui usurpent les entreprises légitimes, puis d’envoyer des leurres personnalisés et d’établir des communications avec les personnes au sein de l’organisation pour renforcer la confiance avant d’envoyer éventuellement des fichiers chargés de logiciels malveillants aux victimes et d’accéder au réseau. Les tactiques d’Exotic Lily sont plus étroitement alignées sur celles des groupes APT plutôt que sur celles d’un courtier d’accès initial.
« Nous avons observé cet acteur de la menace déployant des tactiques, des techniques et des procédures (TTP) qui sont traditionnellement associées à des attaques plus ciblées, comme l’usurpation d’identité d’entreprises et d’employés comme moyen de gagner la confiance d’une organisation ciblée par le biais de campagnes par e-mail qui seraient envoyées par de vrais opérateurs humains utilisant peu ou pas d’automatisation », ont déclaré Vlad Stolyarov et Benoit Sevens du groupe d’analyse des menaces de Google dans un post.
« De plus, et de manière assez unique, ils exploitent des services de partage de fichiers légitimes tels que WeTransfer, TransferNow et OneDrive pour fournir la charge utile, évitant ainsi davantage les mécanismes de détection. Ce niveau d’interaction humaine est plutôt inhabituel pour les groupes de cybercriminalité axés sur des opérations à grande échelle.
Exotic Lily fait partie de la génération émergente de courtiers d’accès initial, d’individus ou de groupes qui se spécialisent dans la compromission d’organisations, puis vendent cet accès à d’autres groupes de cybercriminalité. Certaines organisations de cybercriminalité ont leurs propres équipes spécialisées dans l’accès initial, il y a un nombre croissant d’équipes indépendantes comme Eoxtic Lily qui travaillent à accéder à des organisations spécifiques. Dans le cas d’Exotic Lily, le groupe semble avoir des liens spécifiques avec FIN12, un groupe de cybercriminalité motivé financièrement qui est connu pour cibler les organisations de soins de santé dans des attaques de ransomware.
« Bien que la nature de ces relations reste floue, EXOTIC LILY semble fonctionner comme une entité distincte, se concentrant sur l’acquisition d’un accès initial par le biais de campagnes par e-mail, avec des activités de suivi qui incluent le déploiement des ransomwares Conti et Diavol, qui sont effectuées par un ensemble différent d’acteurs », ont déclaré Stolyarov et Sevens.
Exotic Lily a utilisé une variété de tactiques dans ses campagnes, y compris la mise en place de nouveaux domaines pour usurper les domaines légitimes, souvent en utilisant des TLD tels que . US ou .CO plutôt que .COM. Le groupe configure ensuite des personas et crée des comptes de messagerie avant d’envoyer les messages de phishing personnalisés aux victimes. Ils tentent ensuite d’organiser des réunions ou d’envoyer des propositions commerciales afin de créer une relation avec la victime.
« À l’étape finale, l’attaquant téléchargerait la charge utile sur un service public de partage de fichiers (TransferNow, TransferXL, WeTransfer ou OneDrive), puis utiliserait une fonction de notification par e-mail intégrée pour partager le fichier avec la cible, permettant à l’e-mail final de provenir de l’adresse e-mail d’un service de partage de fichiers légitime et non de l’e-mail de l’attaquant, ce qui présente des défis de détection supplémentaires, », ont déclaré Stolyarov et Sevens.
Exotic Lily a utilisé quelques souches différentes de logiciels malveillants dans ses campagnes, notamment BazarLoader. Mais le groupe a également envoyé des documents malveillants avec un exploit pour la vulnérabilité CVE-2021-40444 dans MSHTML, qui était un jour zéro au moment où le groupe l’a utilisé.