21/03/22
Специалисты из Google Threat Analysis Group рассказали о группировке под названием Exotic Lily, занимающейся взломами организаций и продажей доступа к их сетям.
Главным методом, которым пользуется группировка для получения доступа к сетям атакуемых организаций, является целенаправленный фишинг. Ежедневно злоумышленники рассылают порядка 5 тыс. электронных писем, направляющих жертв на подконтрольные им домены, очень похожие на легитимные (например, пользователи example.com направляются на example.co).
Фишеры выдают себя за выдуманных личностей, а в последнее время стали брать данные из сервисов поиска деловой информации наподобие RocketReach и CrunchBase и выдавать себя за реальных людей. Кроме того, они используют легитимные файлообменные сайты, в том числе TransferNow, TransferXL, WeTransfer и OneDrive, для передачи жертвам полезной нагрузки в обход решений безопасности.
Клиентами Exotic Lily являются русские киберпреступные группировки Fin12 (она же Wizard Spider), Conti и Diavol.
Группа, по-видимому, поддерживает высокий уровень баланса между работой и личной жизнью, поскольку ее активность типична для рабочего дня с 9:00 до 17:00 в Восточной и Центральной Европе, с небольшой активностью в выходные дни.
Хотя Exotic Lily тесно связана с кибервымогательскими группировками, она является отдельной организацией, и сфера ее интересов ограничивается только начальным доступом. Развертыванием вымогательского ПО занимаются другие.
