Le groupe d’analyse des menaces de Google a observé un acteur de la menace motivé par des raisons financières travaillant comme intermédiaire pour les pirates russes, y compris le Gang de ransomware Conti.
Le groupe, que Google appelle « Exotic Lily », agit en tant que courtier d’accès initial, trouvant des organisations vulnérables et vendant l’accès à leurs réseaux au plus offrant. En sous-traitant l’accès initial au réseau d’une victime, les gangs de ransomware comme Conti peuvent se concentrer sur la phase d’exécution d’une attaque.
Dans le cas d’Exotic Lily, cet accès initial a été obtenu par le biais de campagnes par e-mail, dans lesquelles le groupe s’est fait passer pour des organisations et des employés légitimes par le biais du utilisation de l’usurpation de domaine et d’identité. Dans la majorité des cas, un domaine usurpé était presque identique au nom de domaine réel d’une organisation existante, mais a remplacé les domaines de premier niveau par « .us », « .co » ou « .biz ». Afin d’apparaître comme des employés légitimes, Exotic Lily a mis en place des profils de médias sociaux et des images de visages humains générées par l’IA.
Les attaquants, qui, selon Google, opèrent depuis l’Europe centrale ou orientale en raison des heures de travail des acteurs de la menace, enverraient alors spear-phishing sous prétexte d’une proposition commerciale, avant de finalement télécharger une charge utile sur un service public de partage de fichiers tel que WeTransfer ou Microsoft OneDrive.
« Ce niveau d’interaction humaine est plutôt inhabituel pour les groupes de cybercriminalité axés sur des opérations à grande échelle », note les chercheurs de Google Vlad Stolyarov et Benoit Sevens dans un article de blog partagé avec TechCrunch avant publication.
Ces charges utiles malveillantes ont d’abord pris la forme de documents contenant un exploit pour un zero-day dans le moteur de navigateur MSHTML de Microsoft (suivi en tant que CVE-2021-40444), avant que les attaquants ne passent à la livraison d’images disque ISO contenant des charges utiles BazarLoader cachées. Les chercheurs de Google disent que ce changement confirme la relation d’Exotic Lily avec un groupe de cybercriminalité russe suivi sous le nom de Wizard Spider (également connu sous le nom de UNC1878), qui est lié au célèbre ransomware Ryuk qui a été utilisé pour cibler les entreprises, les hôpitaux – y compris les services de santé universels basés aux États-Unis — et les institutions gouvernementales depuis 2018.
Bien que la nature de cette relation reste incertaine, Google affirme qu’Exotic Lily semble fonctionner comme une entité distincte, se concentrant sur l’acquisition d’un accès initial par le biais de campagnes par e-mail, avec des activités de suivi qui incluent le déploiement des ransomwares Conti et Diavol.
Exotic Lily, qui a été observé pour la première fois en septembre 2021 et est toujours actif aujourd’hui, envoyait plus de 5 000 e-mails de phishing par jour à 650 organisations pendant le pic de son activité, a déclaré Google. Alors que le groupe semblait initialement cibler des secteurs spécifiques tels que l’informatique, la cybersécurité et la santé, il a plus récemment commencé à attaquer une grande variété d’organisations et d’industries, avec moins d’objectifs spécifiques.
Google a également partagé des indicateurs de compromission (IOC) de la campagne d’e-mail à grande échelle d’Exotic Lily pour aider les organisations à défendre leurs réseaux.
