谷歌威胁分析小组曝光Conti勒索软件攻击链的上游组织 代号Exotic Lily

安全 数据安全
Google 表示,Exotic Lily 于 2021 年 9 月首次被发现,至今仍处于活跃状态。在其活动高峰期间,每日有向多达 650 个组织发送超过 5000 封网络钓鱼电子邮件。

谷歌威胁分析小组(TAG)刚刚观察到了一个出于经济动机、而充当黑客中间人的威胁行为者,可知其“客户”包括了 Conti 勒索软件团伙。Google 将该组织称作“Exotic Lily”,它会充当初始访问代理,寻找易受攻击的组织、并将其网络访问权挂牌转售给出价最高的攻击者。

Exotic Lily 攻击链(来自:TAG)

通过将对受害者网络的初始访问给“外包”掉,类似 Conti 这样的勒索软件团伙,便可更加专注于攻击和执行。

起初,Exotic Lily 会通过钓鱼邮件,假扮合法组织及其员工(甚至创建了配套的社交媒体资料 / AI 生成的人脸图像),以引诱经验不足的受害者上钩。

大多数情况下,假冒域名会模仿得非常相似,但顶级域的“尾巴”还是相当容易露馅的(比如 .us、.co 或 .biz)。

通过对其“工作时段”进行分析,Google 认为幕后黑手可能生活在中东欧地区,然后假借商业提案等借口发送钓鱼邮件。

假冒身份的钓鱼邮件示例

为了躲避电子邮件服务商的安全筛查,Exotic Lily 还会将“有效负载”上传到公共文件托管服务平台(比如 WeTransfer 或 OneDrive 网盘)。

研究人员 Vlad Stolyarov 和 Benoit Sevens 在一篇博文中指出:“这种程度的人机交互,对那些专注于大规模运营的网络犯罪组织来说,是相当不同于寻常的”。

攻击者利用了文件共享服务的邮件通知功能

这些恶意负载最初采用了文档的形式,但其中包含了对微软 MSHTML 浏览器引擎的零日漏洞利用(CVE-2021-40444),以转向包含隐藏恶意负载的 BazarLoader ISO 磁盘映像。

这一转变证实了 Exotic Lily 与被追踪的 Wizard Spider(又名 UNC1878)的俄罗斯网络犯罪组织之间的联系,据说后者与臭名昭著的 Ryuk 勒索软件攻击事件有关。

颜色深浅代表了恶意活动的活跃度

自 2018 年以来,UNC1878 有对许多企业、医院(包括美国 UHS)和政府机构发动过勒索软件攻击。

虽然它与 Exotic Lily 之间的关系仍有待进一步厘清,但后者似乎属于一个独立运作的实体,专注于通过钓鱼邮件来获得针对受害目标的初始网络访问权限,然后转手卖给 Conti 和 Diavol 等勒索软件攻击发起者。

命令行参数示例

Google 表示,Exotic Lily 于 2021 年 9 月首次被发现,至今仍处于活跃状态。在其活动高峰期间,每日有向多达 650 个组织发送超过 5000 封网络钓鱼电子邮件。

虽然该组织最初似乎针对特定行业(比如 IT、网络安全和医疗保健),但它最近已经开始攻击各式各样的行业与组织。

最后,Google 分享了 Exotic Lily 的大型电子邮件活动中的攻陷信标(IOC),以帮助各个组织更好地保护自身网络。

责任编辑:未丽燕 来源: cnBeta.COM
相关推荐

2022-04-18 13:12:44

网络攻击勒索组织网络安全

2021-11-09 10:07:09

勒索软件Conti数据泄露

2022-04-10 23:48:32

勒索软件安全俄罗斯

2022-03-31 06:31:48

勒索软件数据泄露网络攻击

2021-12-17 19:56:15

勒索软件攻击数据泄露

2021-08-10 16:50:14

勒索软件攻击数据泄露

2023-02-28 11:07:22

2020-11-12 09:57:33

勒索软件网络攻击安全威胁

2020-06-15 07:48:28

Maze勒索软件数据泄漏

2022-02-23 12:06:54

勒索软件网络攻击网络安全

2024-03-29 15:41:16

2021-05-19 10:13:17

勒索软件勒索赎金网络攻击

2021-12-28 15:22:52

勒索软件攻击网络安全

2022-06-02 08:39:50

勒索软件网络攻击

2018-01-04 01:17:30

2024-06-06 16:29:38

2023-11-29 20:20:14

2021-03-05 10:17:32

保护组织勒索软件网络安全

2022-01-21 07:48:28

勒索软件网络攻击网络安全

2022-01-29 08:23:01

勒索软件网络攻击
点赞
收藏

51CTO技术栈公众号