谷歌威胁分析小组曝光Conti勒索软件攻击链上游组织

谷歌威胁分析小组近期观察到了一个出于经济动机、而充当黑客中间人的威胁行为者，其客户包括了Conti勒索软件团伙。Google将该组织称作Exotic Lily，它会充当初始访问代理，寻找易受攻击的组织、并将其网络访问权挂牌转售给出价最高的攻击者。

 

通过将对受害者网络的初始访问泄露给类似Conti这样的勒索软件团伙，便可使后者更加专注于攻击和执行。起初，Exotic Lily会通过钓鱼邮件，假扮合法组织及其员工（甚至创建了配套的社交媒体资料/AI生成的人脸图像），以引诱经验不足的受害者上钩。

 

大多数情况下，假冒域名会模仿得非常相似。通过对其工作时段进行分析，Google认为幕后黑手可能生活在中东欧地区，然后假借商业提案等借口发送钓鱼邮件。

 

为了躲避电子邮件服务商的安全筛查，Exotic Lily还会将工具上传到公共文件托管服务平台。据悉，这些恶意软件采用了文档的形式，但其中包含了对微软MSHTML浏览器引擎的零日漏洞利用（CVE-2021-40444），以转向包含隐藏恶意负载的BazarLoader ISO磁盘映像。

 

虽然该组织最初似乎针对特定行业（比如 IT、网络安全和医疗保健），但它最近已经开始攻击各式各样的行业与组织。最后，Google分享了Exotic Lily的大型电子邮件活动中的攻陷信标，以帮助各个组织更好地保护自身网络。