谷歌威脅分析小組(TAG)剛剛觀察到了一個出於經濟動機、而充當黑客中間人的威脅行為者,可知其“客戶”包括了 Conti 勒索軟件團伙。Google 將該組織稱作“Exotic Lily”,它會充當初始訪問代理,尋找易受攻擊的組織、並將其網絡訪問權掛牌轉售給出價最高的攻擊者。
Exotic Lily 攻擊鏈(來自:TAG)
通過將對受害者網絡的初始訪問給“外包”掉,類似 Conti 這樣的勒索軟件團伙,便可更加專註於攻擊和執行。
起初,Exotic Lily 會通過釣魚郵件,假扮合法組織及其員工(甚至創建了配套的社交媒體資料 / AI 生成的人臉圖像),以引誘經驗不足的受害者上鉤。
大多數情況下,假冒域名會模仿得非常相似,但頂級域的“尾巴”還是相當容易露餡的(比如 .us、.co 或 .biz)。
通過對其“工作時段”進行分析,Google 認為幕後黑手可能生活在中東歐地區,然後假借商業提案等借口發送釣魚郵件。
假冒身份的釣魚郵件示例
為了躲避電子郵件服務商的安全篩查,Exotic Lily 還會將“有效負載”上傳到公共文件託管服務平台(比如 WeTransfer 或 OneDrive 網盤)。
研究人員 Vlad Stolyarov 和 Benoit Sevens 在一篇博文中指出:“這種程度的人機交互,對那些專註於大規模運營的網絡犯罪組織來說,是相當不同於尋常的”。
攻擊者利用了文件共享服務的郵件通知功能
這些惡意負載最初採用了文檔的形式,但其中包含了對微軟 MSHTML 瀏覽器引擎的零日漏洞利用(CVE-2021-40444),以轉向包含隱藏惡意負載的 BazarLoader ISO 磁盤映像。
這一轉變證實了 Exotic Lily 與被追蹤的 Wizard Spider(又名 UNC1878)的俄羅斯網絡犯罪組織之間的聯繫,據說後者與臭名昭著的 Ryuk 勒索軟件攻擊事件有關。
顏色深淺代表了惡意活動的活躍度
自 2018 年以來,UNC1878 有對許多企業、醫院(包括美國 UHS)和政府機構發動過勒索軟件攻擊。
雖然它與 Exotic Lily 之間的關係仍有待進一步釐清,但後者似乎屬於一個獨立運作的實體,專註於通過釣魚郵件來獲得針對受害目標的初始網絡訪問權限,然後轉手賣給 Conti 和 Diavol 等勒索軟件攻擊發起者。
命令行參數示例
Google 表示,Exotic Lily 於 2021 年 9 月首次被發現,至今仍處於活躍狀態。在其活動高峰期間,每日有向多達 650 個組織發送超過 5000 封網絡釣魚電子郵件。
雖然該組織最初似乎針對特定行業(比如 IT、網絡安全和醫療保健),但它最近已經開始攻擊各式各樣的行業與組織。
最後,Google 分享了 Exotic Lily 的大型電子郵件活動中的攻陷信標(IOC),以幫助各個組織更好地保護自身網絡。