的Conti勒索软件攻击链上游组织谷歌威胁分析小组(TAG)刚刚观察到一个出于经济动机的威胁行为者充当黑客的中间人。它的“客户”包括Conti勒索软件团伙。该组织被谷歌称为“ExoticLily”,充当初始访问代理,寻找易受攻击的组织并将其网络访问权转售给出价最高的人。ExoticLily攻击链(来源:TAG)通过“外包”对受害者网络的初始访问,像Conti这样的勒索软件团伙可以更专注于攻击和执行。起初,ExoticLily会伪装成合法组织及其员工(甚至创建相应的社交媒体资料/AI生成的面部图像),用网络钓鱼电子邮件引诱没有经验的受害者。大多数时候,假域名会模仿一个非常相似的域名,但顶级域名的“尾巴”很容易暴露(如.us、.co或.biz)。通过对其“工作时间”的分析,谷歌认为幕后黑手可能居住在中欧和东欧,然后以商业建议为借口发送钓鱼邮件。假冒身份钓鱼邮件示例为逃避邮件服务商的安全筛查,奇百合还会向公共文件托管服务平台(如WeTransfer或OneDrive网盘)上传“payloads”。研究人员VladStolyarov和BenoitSevens在一篇博客文章中指出:“这种级别的人机交互对于专门从事大规模操作的网络犯罪组织来说是非常不寻常的。”攻击者利用文件共享服务的电子邮件通知功能。这些恶意负载最初以文档的形式出现,但包括对MicrosoftMSHTML浏览器引擎(CVE-2021-40444)的零日利用,以转向包含隐藏的恶意负载。BazarLoaderISO磁盘映像。这一转变证实了ExoticLily与俄罗斯网络犯罪组织trackedWizardSpider(又名UNC1878)的联系,据说该组织参与了臭名昭著的Ryuk勒索软件攻击。颜色深浅表示恶意活动的活动。自2018年以来,UNC1878已对多家企业、医院(包括美国的UHS)、政府机构发起勒索软件攻击。虽然它与ExoticLily的关系仍有待澄清,但后者似乎是一个独立的实体,专注于通过网络钓鱼电子邮件获得受害者的初始网络访问权限,然后将其出售给勒索者,如Conti和DiavolSoftwareAttackInitiator。命令行参数示例谷歌表示,ExoticLily于2021年9月首次被发现,至今仍处于活跃状态。在其活动高峰期,每天向多达650个组织发送5,000多封网络钓鱼电子邮件。虽然该组织最初似乎针对特定行业(如IT、网络安全和医疗保健),但最近它开始攻击各种各样的行业和组织。最后,Google分享了来自ExoticLily的大规模电子邮件活动的妥协信标(IOC),以帮助组织更好地保护他们的网络。
