Группа анализа угроз Google раскрыла деятельность группы злоумышленников, получившей название EXOTIC LILY, брокера первоначального доступа, связанного с операциями по вымогательству Conti и Diavol.
Эта конкретная группа была впервые замечена при использовании уязвимости нулевого дня в Microsoft MSHTML (CVE-2021-40444), поэтому она вызвала интерес у исследователей Google как потенциальный злоумышленник.
После дальнейшего расследования было установлено, что «EXOTIC LILY» является брокером первоначального доступа, который использует крупномасштабные фишинговые кампании для взлома целевых корпоративных сетей, а затем продает доступ к этим сетям бандам вымогателей.
На пике своего развития EXOTIC LILY отправляла более 5000 электронных писем в 650 организаций за один день, что свидетельствует об обширности фишинговых кампаний.
Проанализировав активность хакерской группы, обнаружилось, что злоумышленники работают в основном с 09:00 до 17:00 по восточному поясному времени в будние дни и очень мало работают в выходные дни.
Хотя может показаться странным думать, что киберпреступники работают на обычной работе с 9 до 17, недавние утечки Conti показывают, что многие злоумышленники ведут свою деятельность как бизнес, запрашивая выходные, отчитываясь перед менеджерами и получая зарплату.
Кроме того, члены группы выполняют внутренние технические задачи, такие как настройка шаблонов бизнес-предложений или загрузка полезной нагрузки вредоносного ПО в законные службы обмена файлами, прежде чем делиться ссылками с целевыми объектами.
С оперативной точки зрения цепочка атак следует строгой форме, начиная с регистрации поддельного домена, затем используя его для отправки электронных писем, установления отношений с целью и, наконец, обмена полезной нагрузкой через файлообменник.
