Ces redoutables courtiers en accès au réseau d'entreprises opèrent via WeTransfer et OneDrive
Les chercheurs en cybersécurité de Google ont dévoilé les rouages de l’organisation cybercriminelle Exotic Lily, notamment affiliée au groupe de ransomware Conti, à qui elle vend des accès au réseau d'entreprises. Exotic Lily à la particularité d’user à large échelle d’un mode opératoire habituellement observé pour des actions malveillantes plus restreintes et ciblées.
Les chercheurs en cybersécurité du Threat Analysis Group (TAG) de Google ont découvert un groupe de cybercriminels affilié à des opérateurs de ransomware dont Conti. Baptisé Exotic Lily, ce groupe qui agit comme un Initial Access Broker est spécialisé dans le revente d’accès au réseau d'entreprises. Selon les chercheurs de Google, il se distingue en usant à large échelle d’un mode opératoire habituellement observé pour des actions malveillantes plus restreintes et ciblées.
«Nous avons observé que cet acteur de la menace déploie des tactiques, techniques et procédures qui sont traditionnellement associées à des attaques plus ciblées, comme l'usurpation d'identité d'entreprises et d'employés pour gagner la confiance d'une organisation ciblée par le biais de campagnes d'e-mails qui sont censées être envoyées par de véritables opérateurs humains utilisant peu ou pas d'automatisation», indique le billet de blog du Threat Analysis Group. Ce dernier a observé des activités intenses, correspondant à l’envoi de 5000 e-mails de phishing par jour à pas moins de 650 organisations. Exotic Lily a en outre une particularité assez unique, selon les chercheurs, consistant à exploiter des services légitimes de partage de fichiers tels que WeTransfer, TransferNow et OneDrive pour partager des liens vers des fichiers malveillants, afin d'échapper aux mécanismes de détection.
Personnalisation des interactions avec les victimes
«Ce niveau d'interaction humaine est plutôt inhabituel pour les groupes de cybercriminels qui se concentrent sur des opérations à grande échelle», indique encore l’article du Threat Analysis Group. Les individus travaillant pour Exotic Lily créent notamment des faux sites et des faux profils Linked abusant de l’identité d'entreprises et d'employés. Ils peuvent parfois personnaliser des modèles initiaux de prétendue proposition commerciale, faire le suivi des discussions pour gagner la confiance de la cible avant de partager des fichiers infectés via un service de partage.
Relation probable avec la Russie
Les chercheurs en cybersécurité de Google ont observé que les hackers malveillants d’Exotic Lily ont initialement exploité des failles dans le moteur d’affichage de pages web Microsoft MSHTML. Les cybercriminels sont ensuite passés à l’envoi de fichiers ISO avec des fichiers DLL BazarLoader cachés et des raccourcis LNK. «Nous pensons que le passage à la livraison de BazarLoader, ainsi que d'autres indicateurs [...] confirme l'existence d'une relation entre Exotic Lily et les actions d'un groupe de cybercriminels russes», notent en outres les chercheur du Google Threat Analysis Group.
Pour rappel, les opérateurs du ransomware Conti, auquel est entre autres affilié Exotic Lily, ont publiquement soutenu le Kremlin dans le cadre de la guerre avec l’Ukraine (lire notre flux sur les dimensions cyber et numérique du conflit). Le groupe Conti a ensuite été victime d'une fuite de données.
