0
0
A automação pode ser o caminho para muitas coisas, mas um relatório recentemente publicado pelo Grupo de Análise de Ameaças (TAG) do Google mostra por que campanhas de phishing direcionadas realizadas por operadores humanos são frequentemente bem sucedidas, e como a gangue de ransomware Conti se destaca em segmentar organizações com a ajuda de um corretor de acesso inicial.
Exotic Lily: Um ator de ameaças especializado em obter acesso inicial às organizações
Os pesquisadores da TAG Vlad Stolyarov e Benoit Sevens delinearam as táticas, técnicas e procedimentos (TTPs) usados por um corretor de acesso inicial (IAB) apelidado de Exotic Lily.
Seu modus operandi (muito consistente) começa com o registro de um domínio que se parece com o de uma organização existente – por exemplo, company.us (ou .co, .biz, etc.) para falsificar company.com.
Em seguida, eles criam uma conta de e-mail supostamente pertencente a um funcionário da empresa (employee@company.us), e usam esse e-mail para entrar em contato com um funcionário da organização alvo.
“Usando contas de e-mail falsificadas, os invasores enviariam e-mails de phishing sob o pretexto de uma proposta de negócio, como a busca de terceirizar um projeto de desenvolvimento de software ou um serviço de segurança da informação”, explicaram os analistas da TAG.
Depois de alguns e-mails trocados discutindo negócios, eles carregariam uma carga maliciosa para um serviço público de compartilhamento de arquivos, como TransferNow, TransferXL, WeTransfer ou OneDrive, e usariam o recurso de notificação de e-mail incorporado do serviço para compartilhar o arquivo com o alvo.
É fácil ver por que essa abordagem é tão bem sucedida:
- A maioria dos funcionários está ocupada e muitos não notarão que os e-mails são enviados de domínios falsos (pois eles se parecem muito com a coisa real)
- E-mails de phishing personalizados criados por humanos são mais confiáveis e inspiram mais confiança do que aqueles baseados em modelos, enviados automaticamente com base em palavras-chave detectadas na resposta do remetente
- E-mails enviados por serviços legítimos com links para cargas maliciosas hospedadas em serviços legítimos são menos prováveis de serem detectados e sinalizados como maliciosos pelas defesas de segurança de e-mail
Uma vez que os alvos baixam e executam os carregadores maliciosos ou backdoors posando como documentos inócuos, o malware coleta e envia informações do sistema para um servidor C2 e aguarda instruções para executar o shellcode e soltar e executar arquivos executáveis (mais recentemente: cargas cobalto strike).
Conexão com Conti e Diavol
“Embora o grupo tenha chegado ao nosso conhecimento inicialmente devido ao uso de documentos contendo uma exploração para CVE-2021-40444, eles mais tarde mudaram para a entrega de arquivos ISO com DLLs e atalhos LNK escondidos bazarloader. Essas amostras têm alguns indicadores que sugerem que foram feitos sob medida para serem usados pelo grupo”, compartilharam os analistas.
Esses e outros indicadores apontam para uma conexão entre esse corretor de acesso inicial e atores de ameaças empurrando o ransomware Conti e Diavol operados pelo homem, embora os analistas acreditem que eles são entidades especializadas e separadas.
“Um detalhamento da atividade de comunicação do ator mostra que os operadores estão trabalhando em um trabalho bastante típico de 9 a 5, com pouca atividade durante os finais de semana. A distribuição das horas de trabalho do ator sugere que eles podem estar trabalhando a partir de um fuso horário central ou da Europa Oriental”, observaram os analistas.
“No auge da atividade da EXOTIC LILY, estimamos que eles estavam enviando mais de 5.000 e-mails por dia, para cerca de 650 organizações-alvo em todo o mundo. Até novembro de 2021, o grupo parecia estar mirando indústrias específicas, como TI, cibersegurança e saúde, mas ultimamente os vimos atacando uma ampla variedade de organizações e indústrias, com foco menos específico.”
FONTE: HELPNET SECURITY