谷歌威胁分析小组曝光Conti勒索软件攻击链的上游组织 代号Exotic Lily
source link: https://netsecurity.51cto.com/article/704259.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
谷歌威胁分析小组(TAG)刚刚观察到了一个出于经济动机、而充当黑客中间人的威胁行为者,可知其“客户”包括了 Conti 勒索软件团伙。Google 将该组织称作“Exotic Lily”,它会充当初始访问代理,寻找易受攻击的组织、并将其网络访问权挂牌转售给出价最高的攻击者。
Exotic Lily 攻击链(来自:TAG)
通过将对受害者网络的初始访问给“外包”掉,类似 Conti 这样的勒索软件团伙,便可更加专注于攻击和执行。
起初,Exotic Lily 会通过钓鱼邮件,假扮合法组织及其员工(甚至创建了配套的社交媒体资料 / AI 生成的人脸图像),以引诱经验不足的受害者上钩。
大多数情况下,假冒域名会模仿得非常相似,但顶级域的“尾巴”还是相当容易露馅的(比如 .us、.co 或 .biz)。
通过对其“工作时段”进行分析,Google 认为幕后黑手可能生活在中东欧地区,然后假借商业提案等借口发送钓鱼邮件。
假冒身份的钓鱼邮件示例
为了躲避电子邮件服务商的安全筛查,Exotic Lily 还会将“有效负载”上传到公共文件托管服务平台(比如 WeTransfer 或 OneDrive 网盘)。
研究人员 Vlad Stolyarov 和 Benoit Sevens 在一篇博文中指出:“这种程度的人机交互,对那些专注于大规模运营的网络犯罪组织来说,是相当不同于寻常的”。
攻击者利用了文件共享服务的邮件通知功能
这些恶意负载最初采用了文档的形式,但其中包含了对微软 MSHTML 浏览器引擎的零日漏洞利用(CVE-2021-40444),以转向包含隐藏恶意负载的 BazarLoader ISO 磁盘映像。
这一转变证实了 Exotic Lily 与被追踪的 Wizard Spider(又名 UNC1878)的俄罗斯网络犯罪组织之间的联系,据说后者与臭名昭著的 Ryuk 勒索软件攻击事件有关。
颜色深浅代表了恶意活动的活跃度
自 2018 年以来,UNC1878 有对许多企业、医院(包括美国 UHS)和政府机构发动过勒索软件攻击。
虽然它与 Exotic Lily 之间的关系仍有待进一步厘清,但后者似乎属于一个独立运作的实体,专注于通过钓鱼邮件来获得针对受害目标的初始网络访问权限,然后转手卖给 Conti 和 Diavol 等勒索软件攻击发起者。
命令行参数示例
Google 表示,Exotic Lily 于 2021 年 9 月首次被发现,至今仍处于活跃状态。在其活动高峰期间,每日有向多达 650 个组织发送超过 5000 封网络钓鱼电子邮件。
虽然该组织最初似乎针对特定行业(比如 IT、网络安全和医疗保健),但它最近已经开始攻击各式各样的行业与组织。
最后,Google 分享了 Exotic Lily 的大型电子邮件活动中的攻陷信标(IOC),以帮助各个组织更好地保护自身网络。
Recommend
-
17
一种针对企业网络的新型勒索软件出现了, Snake 。 Snake是一种新的勒索软件,它正和最流行的勒索软件家族(如Ryuk,Maze,Sodinokibi,LockerGoga,BitPaymer,DoppelPaymer,MegaCortex和LockerGoga)一...
-
5
卡内基梅隆大学软件工程学院:勒索软件威胁现状(一) 绿盟科技 2021-05-11 18:34:24 53667 2...
-
5
如何降低云计算勒索软件的威胁 责任编辑:cres 作者:Dmitry Dontov | 2021-06-09 10:24:35 原创文章 企业网D1Net 冠状病毒疫情促使很多企业加快实施数字化转型,这些企业希望适应新的常态,并有效...
-
8
俄罗斯勒索软件组织 Conti 威胁发动网络战
-
2
检测、隔离和谈判:改进对勒索软件的威胁准备和响应-51CTO.COM 检测、隔离和谈判:改进对勒索软件的威胁准备和响应 作者:Tom Hofmann 2022-07-04 10:44:12
-
3
头号威胁:勒索软件上演“开挂”模式-51CTO.COM 头号威胁:勒索软件上演“开挂”模式 原创 作者:
-
5
研究表明勒索软件在网络威胁格局中占据主导地位 作者:HERO编译 2022-09-06 14:23:51 在2022年上半年报告的所有违规事件中,将近一半涉及凭据被盗,这表明网络钓鱼和勒索软件活动更加猖獗。该公司在调查报告中强调...
-
7
为应对苹果威胁 谷歌削减软件支持豪赌硬件策略 小小 2022年10月21日 09:07 10月19日消息,随着Pixel 7的发布,谷歌明确表露了自己的...
-
5
加速 AWS、Azure 和 Google 勒索软件威胁
-
5
后门部署和勒索软件是2023主要威胁 作者:铸盾安全 2023-03-21 00:08:06 在2022 年,后门访问甚至超过了勒索软件,X-Force 检查的案例中有 17% 出现了这种情况。但这些后门中约有 67% 是勒索软件尝试失败,防御者...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK