谷歌威脅分析小組曝光Conti勒索軟體攻擊鏈的上游組織 代號Exotic Lily

語言: CN / TW / HK

谷歌威脅分析小組(TAG)剛剛觀察到了一個出於經濟動機、而充當黑客中間人的威脅行為者,可知其“客戶”包括了 Conti 勒索軟體團伙。Google 將該組織稱作“Exotic Lily”,它會充當初始訪問代理,尋找易受攻擊的組織、並將其網路訪問權掛牌轉售給出價最高的攻擊者。

Exotic Lily 攻擊鏈(來自: TAG

通過將對受害者網路的初始訪問給“外包”掉,類似 Conti 這樣的勒索軟體團伙,便可更加專注於攻擊和執行。

起初,Exotic Lily 會通過釣魚郵件,假扮合法組織及其員工(甚至建立了配套的社交媒體資料 / AI 生成的人臉影象),以引誘經驗不足的受害者上鉤。

大多數情況下,假冒域名會模仿得非常相似,但頂級域的“尾巴”還是相當容易露餡的(比如 .us、.co 或 .biz)。

通過對其“工作時段”進行分析,Google 認為幕後黑手可能生活在中東歐地區,然後假借商業提案等藉口傳送釣魚郵件。

假冒身份的釣魚郵件示例

為了躲避電子郵件服務商的安全篩查,Exotic Lily 還會將“有效負載”上傳到公共檔案託管服務平臺(比如 WeTransfer 或 OneDrive 網盤)。

研究人員 Vlad Stolyarov 和 Benoit Sevens 在一篇博文中指出:“這種程度的人機互動,對那些專注於大規模運營的網路犯罪組織來說,是相當不同於尋常的”。

攻擊者利用了檔案共享服務的郵件通知功能

這些惡意負載最初採用了文件的形式,但其中包含了對 微軟 MSHTML 瀏覽器引擎的零日漏洞利用(CVE-2021-40444),以轉向包含隱藏惡意負載的 BazarLoader ISO 磁碟映像。

這一轉變證實了 Exotic Lily 與被追蹤的 Wizard Spider(又名 UNC1878)的俄羅斯網路犯罪組織之間的聯絡,據說後者與臭名昭著的 Ryuk 勒索軟體攻擊事件有關。

顏色深淺代表了惡意活動的活躍度

自 2018 年以來,UNC1878 有對許多企業、醫院(包括美國 UHS)和政府機構發動過勒索軟體攻擊。

雖然它與 Exotic Lily 之間的關係仍有待進一步釐清,但後者似乎屬於一個獨立運作的實體,專注於通過釣魚郵件來獲得針對受害目標的初始網路訪問許可權,然後轉手賣給 Conti 和 Diavol 等勒索軟體攻擊發起者。

命令列引數示例

Google 表示,Exotic Lily 於 2021 年 9 月首次被發現,至今仍處於活躍狀態。在其活動高峰期間,每日有向多達 650 個組織傳送超過 5000 封網路釣魚電子郵件。

雖然該組織最初似乎針對特定行業(比如 IT、網路安全和醫療保健),但它最近已經開始攻擊各式各樣的行業與組織。

最後,Google 分享了 Exotic Lily 的大型電子郵件活動中的攻陷信標(IOC),以幫助各個組織更好地保護自身網路。