谷歌威脅分析小組曝光Conti勒索軟體攻擊鏈的上游組織 代號Exotic Lily
谷歌威脅分析小組(TAG)剛剛觀察到了一個出於經濟動機、而充當黑客中間人的威脅行為者,可知其“客戶”包括了 Conti 勒索軟體團伙。Google 將該組織稱作“Exotic Lily”,它會充當初始訪問代理,尋找易受攻擊的組織、並將其網路訪問權掛牌轉售給出價最高的攻擊者。
Exotic Lily 攻擊鏈(來自: TAG )
通過將對受害者網路的初始訪問給“外包”掉,類似 Conti 這樣的勒索軟體團伙,便可更加專注於攻擊和執行。
起初,Exotic Lily 會通過釣魚郵件,假扮合法組織及其員工(甚至建立了配套的社交媒體資料 / AI 生成的人臉影象),以引誘經驗不足的受害者上鉤。
大多數情況下,假冒域名會模仿得非常相似,但頂級域的“尾巴”還是相當容易露餡的(比如 .us、.co 或 .biz)。
通過對其“工作時段”進行分析,Google 認為幕後黑手可能生活在中東歐地區,然後假借商業提案等藉口傳送釣魚郵件。
假冒身份的釣魚郵件示例
為了躲避電子郵件服務商的安全篩查,Exotic Lily 還會將“有效負載”上傳到公共檔案託管服務平臺(比如 WeTransfer 或 OneDrive 網盤)。
研究人員 Vlad Stolyarov 和 Benoit Sevens 在一篇博文中指出:“這種程度的人機互動,對那些專注於大規模運營的網路犯罪組織來說,是相當不同於尋常的”。
攻擊者利用了檔案共享服務的郵件通知功能
這些惡意負載最初採用了文件的形式,但其中包含了對 微軟 MSHTML 瀏覽器引擎的零日漏洞利用(CVE-2021-40444),以轉向包含隱藏惡意負載的 BazarLoader ISO 磁碟映像。
這一轉變證實了 Exotic Lily 與被追蹤的 Wizard Spider(又名 UNC1878)的俄羅斯網路犯罪組織之間的聯絡,據說後者與臭名昭著的 Ryuk 勒索軟體攻擊事件有關。
顏色深淺代表了惡意活動的活躍度
自 2018 年以來,UNC1878 有對許多企業、醫院(包括美國 UHS)和政府機構發動過勒索軟體攻擊。
雖然它與 Exotic Lily 之間的關係仍有待進一步釐清,但後者似乎屬於一個獨立運作的實體,專注於通過釣魚郵件來獲得針對受害目標的初始網路訪問許可權,然後轉手賣給 Conti 和 Diavol 等勒索軟體攻擊發起者。
命令列引數示例
Google 表示,Exotic Lily 於 2021 年 9 月首次被發現,至今仍處於活躍狀態。在其活動高峰期間,每日有向多達 650 個組織傳送超過 5000 封網路釣魚電子郵件。
雖然該組織最初似乎針對特定行業(比如 IT、網路安全和醫療保健),但它最近已經開始攻擊各式各樣的行業與組織。
最後,Google 分享了 Exotic Lily 的大型電子郵件活動中的攻陷信標(IOC),以幫助各個組織更好地保護自身網路。
- 公益難變現,滋生灰產鏈條的輕鬆籌要被賣了?
- 反抗高價雪糕,五毛雪蓮迎戰“雪糕刺客”
- 科技巨頭幾百億研發AI被質疑吹噓:曾擊敗人類的AI要被賣了
- 泰國報告全球首例新冠“貓傳人”病例
- FBI將“加密貨幣女王”列入十大通緝要犯 曾在我國境內製造百億大案
- 日本半導體裝置,面臨衰落危機
- 美國NIH科學家開發的通用流感疫苗開始人體試驗
- 新型太陽能電池光電轉化效率達25% 有望應用於車輛上
- 對好評返現不能一邊吐槽一邊縱容
- MNT Research推出Pocket Reform迷你ARM筆記本
- 蘋果高管採訪中稱三星抄襲iPhone 只是加了一面更大的螢幕
- NASA發射一個小型航天器以測試繞月的新軌道
- 特斯拉柏林超級工廠7月4日開始三班倒生產Model Y
- 研究:普通骨密度掃描可預測患晚年痴呆症的風險
- 爺青回:三星新機確認有可拆卸電池和3.5mm耳機介面
- 特朗普社交公司難上市 特殊目的公司遭聯邦刑事調查
- 6G發展再迎里程碑 網路架構設計獲突破
- 騰訊股東Prosus及Naspers將少量出售騰訊股票 用於自身回購緩解壓力
- 科學家開發可穿戴外肌 能提供令人印象深刻的上半身耐力提升
- 亞馬遜要關閉電子書店 撿漏Kindle的時候到了