Access Broker arbeiten mit Ransomware-Banden zusammen

Anfang September 2021 beobachtete die Google Threat Analysis Group (TAG) einen finanziell motivierten Bedrohungsakteur, den sie als EXOTIC LILY bezeichnet, der eine Sicherheitslücke in Microsoft MSHTML (CVE-2021-40444) ausnutzte. Bei der Untersuchung der Aktivitäten dieser Gruppe stellte sie fest, dass es sich um einen Initial Access Broker (IAB) handelt, der offenbar mit der russischen Cyberkriminellen-Bande FIN12 (Mandiant, FireEye) / WIZARD SPIDER (CrowdStrike) zusammenarbeitet.

Erstzugriffsvermittler oder Initial Access Broker (IAB) sind die opportunistischen Schlösserknacker der Sicherheitswelt und das ist ein Vollzeitjob. Diese Gruppen sind darauf spezialisiert, in ein Ziel einzudringen, um die Türen – oder die Fenster – für den böswilligen Akteur mit dem höchsten Gebot zu öffnen.

EXOTIC LILY ist eine einfallsreiche, finanziell motivierte Gruppe, deren Aktivitäten eng mit der Datenexfiltration und dem Einsatz von menschengesteuerter Ransomware wie Conti und Diavol verbunden zu sein scheinen. Auf dem Höhepunkt der Aktivitäten von EXOTIC LILY schätzte Google, dass die Gruppe täglich mehr als 5.000 E-Mails an bis zu 650 Zielorganisationen weltweit verschickte. Bis November 2021 schien die Gruppe auf bestimmte Branchen wie IT, Cybersicherheit und Gesundheitswesen abzuzielen, aber in letzter Zeit wurde beobachtet, dass sie eine Vielzahl von Organisationen und Branchen angreift, mit weniger spezifischem Fokus.

Dieser Bedrohungsakteur setzt Taktiken, Techniken und Verfahren (TTPs) ein, die traditionell mit gezielteren Angriffen in Verbindung gebracht werden, wie z. B. das Vortäuschen von Unternehmen und Mitarbeitern als Mittel, um das Vertrauen eines Zielunternehmens durch E-Mail-Kampagnen zu gewinnen, von denen angenommen wird, dass sie von echten menschlichen Anwendern mit wenig bis gar keiner Automatisierung verschickt werden. Zusätzlich und ziemlich einzigartig nutzen sie legitime Dateifreigabedienste wie WeTransfer, TransferNow und OneDrive, um die Nutzlast zu übermitteln und so die Erkennungsmechanismen weiter zu umgehen. Dieses Maß an menschlicher Interaktion ist für Internetkriminelle, die sich auf Massenoperationen konzentrieren, eher ungewöhnlich.

Spoofing von Organisationen und Identitäten

Die Angriffskette von EXOTIC LILY ist während der gesamten Zeit relativ konstant geblieben. Eine bemerkenswerte Technik ist die Verwendung von Domain- und Identitätsspoofing, um zusätzliche Glaubwürdigkeit bei einer Zielorganisation zu erlangen. In den meisten Fällen war der gefälschte Domänenname identisch mit dem echten Domänennamen einer bestehenden Organisation, mit dem einzigen Unterschied, dass die TLD in „.us“, „.co“ oder „.biz“ geändert wurde.

Anfänglich erstellte die Gruppe Fake-Persönlichkeiten, die sich als Mitarbeiter eines echten Unternehmens ausgaben. Dies umfasste manchmal die Erstellung von Profilen in sozialen Medien, persönlichen Websites und die Erstellung eines gefälschten Profilbildes mit Hilfe eines öffentlichen Dienstes, um ein KI-generiertes menschliches Gesicht zu erzeugen. Im November 2021 begann die Gruppe, sich als echte Unternehmensmitarbeiter auszugeben, indem sie deren persönliche Daten aus sozialen Medien und Unternehmensdatenbanken wie RocketReach und CrunchBase kopierte.

Über gefälschte E-Mail-Konten verschicken die Angreifer dann Spear-Phishing-E-Mails unter dem Vorwand eines Geschäftsangebots, z. B. für die Auslagerung eines Softwareentwicklungsprojekts oder eines Informationssicherheitsdienstes.

Manchmal versuchen die Angreifer auch, mit der Zielperson in Kontakt zu treten und ein Treffen zu vereinbaren, um das Projektdesign oder die Anforderungen zu besprechen.

In der letzten Phase lud der Angreifer die Nutzdaten auf einen öffentlichen File-Sharing-Dienst (TransferNow, TransferXL, WeTransfer oder OneDrive) hoch und nutzte dann eine integrierte E-Mail-Benachrichtigungsfunktion, um die Datei mit dem Ziel zu teilen, so dass die abschließende E-Mail von der E-Mail-Adresse eines legitimen File-Sharing-Dienstes und nicht von der des Angreifers stammte, was die Erkennung zusätzlich erschwert.

Von Menschen betriebenes Phishing in großem Maßstab

Weitere Hinweise deuten darauf hin, dass zu den Aufgaben eines Betreibers Folgendes gehören könnte:

  • Anpassung der anfänglichen Vorlagen für „Geschäftsvorschläge“ bei der ersten Kontaktaufnahme mit einer Zielorganisation;
  • Bearbeitung weiterer Mitteilungen, um Sympathie und Vertrauen zu gewinnen;
  • Das Hochladen von (von einer anderen Gruppe erworbener) Malware auf einen File-Sharing-Dienst, bevor sie mit der Zielperson geteilt wird.

Eine Aufschlüsselung der Kommunikationsaktivität des Akteurs zeigt, dass die Betreiber einen ziemlich typischen 9-to-5-Job ausüben und an den Wochenenden nur sehr wenig aktiv sind. Die Verteilung der Arbeitszeiten des Akteurs lässt vermuten, dass er in einer mittel- oder osteuropäischen Zeitzone arbeitet.

Malware und Zuordnung

Obwohl die Gruppe zunächst durch die Verwendung von Dokumenten auffiel, die einen Exploit für CVE-2021-40444 enthielten, ging sie später dazu über, ISO-Dateien mit versteckten BazarLoader-DLLs und LNK-Verknüpfungen zu versenden. Diese Muster weisen einige Indikatoren auf, die darauf hindeuten, dass sie speziell für die Gruppe erstellt wurden. So zeigen beispielsweise die in die LNK-Verknüpfungen eingebetteten Metadaten, dass eine Reihe von Feldern wie der „Machine Identifier“ und die „Drive Serial Number“ mit den über andere Wege verbreiteten BazarLoader-ISOs gemeinsam sind, während andere Felder wie die Befehlszeilenargumente für die von EXOTIC LILY verbreiteten Muster einzigartig sind.

Im März setzte die Gruppe die Verbreitung von ISO-Dateien fort, jedoch mit einer DLL, die einen benutzerdefinierten Lader enthält, der eine fortgeschrittenere Variante einer Nutzlast der ersten Stufe ist, die zuvor bei der Ausnutzung von CVE-2021-40444 gesehen wurde. Der Lader ist daran zu erkennen, dass er einen eindeutigen Benutzer-Agenten „bumblebee“ verwendet, den beide Varianten gemeinsam haben. Die Malware, die daher den Namen BUMBLEBEE trägt, verwendet WMI, um verschiedene Systemdetails wie Betriebssystemversion, Benutzernamen und Domänennamen zu sammeln, die dann im JSON-Format an einen C2 übermittelt werden. Als Antwort erwartet er eine der verschiedenen unterstützten „Aufgaben“, zu denen die Ausführung von Shellcode, das Ablegen und Ausführen ausführbarer Dateien gehören. Zum Zeitpunkt der Analyse wurde beobachtet, dass BUMBLEBEE Cobalt-Strike-Nutzdaten abruft.

Die Aktivitäten von EXOTIC LILY überschneiden sich mit einer Gruppe, die als DEV-0413 (Microsoft) verfolgt wird. Frühere Berichte über Angriffe, bei denen CVE-2021-40444 ausgenutzt wurde (von Microsoft und anderen Mitgliedern der Sicherheits-Community), wiesen ebenfalls auf Überschneidungen zwischen Domänen hin, die an der Lieferkette eines Exploits beteiligt sind, und der Infrastruktur, die für die Verbreitung von BazarLoader und Trickbot genutzt wird.

Google ist der Ansicht, dass die Verlagerung zur Bereitstellung von BazarLoader zusammen mit einigen anderen Indikatoren wie einem einzigartigen Cobalt Strike-Profil (beschrieben von RiskIQ) die Existenz einer Beziehung zwischen EXOTIC LILY und den Aktionen einer russischen Cyberkriminellengruppe, die als WIZARD SPIDER (CrowdStrike), FIN12 (Mandiant, FireEye) und DEV-0193 (Microsoft) verfolgt wird, weiter bestätigt. Während die Art dieser Beziehungen unklar bleibt, scheint EXOTIC LILY als eigenständige Einheit zu operieren, die sich darauf konzentriert, durch E-Mail-Kampagnen einen ersten Zugang zu erlangen, mit Folgeaktivitäten, die die Bereitstellung von Conti und Diavol Ransomware umfassen, die von einer anderen Gruppe von Akteuren durchgeführt werden.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago