Google揭露駭客前鋒Exotic Lily

Google本周揭露了一個駭客集團Exotic Lily，所扮演的角色為初始存取掮客（Initial Access Broker，IAB），它利用社交工程及開採微軟零時差漏洞CVE-2021-40444，取得特定組織的存取權之後，再交由俄羅斯駭客集團FIN12（或名Wizard Spider及DEV-0193）部署Conti與Diavol等勒索軟體。

初始存取掮客主要銷售特定組織的遠端存取權限，於勒索軟體即服務（RaaS）經濟中扮演重要的角色，根據資安業者Kela的統計，從2020年6月到2021年6月間，總計發現逾1,000個待售的存取權限，平均價格為5,400美元，中間價格則是1,000美元，受害組織有28%位於美國、6%位於法國，英國、澳洲及加拿大也都占了4%。

Google則發現以營利為目的的Exotic Lily與Conti及Diavol等勒索軟體的部署有密切關連，只是由不同駭客集團所操作，在Exotic Lily建立初始存取的高峰時段，該團隊每日寄送逾5,000封電子郵件予650家組織，並於本周公布了Exotic Lily所使用的攻擊戰術流程（Tactics, Techniques, and Procedures，TTP）以供外界參考。

Exotic Lily並非採用亂槍打鳥政策，而是針對特定目標展開攻擊，因此該集團會先假冒受害組織，例如申請仿冒受害組織的網域名稱，把.com改成.us、.co或.biz等；早期Exotic Lily會以AI偽造特定組織的員工頭像及身分，但從去年11月起，該集團開始冒用組織真正的員工資料，通常是以商業提案作為誘餌，傳送網釣郵件予目標組織。

圖片來源／Google

在與目標組織取得聯繫之後，還會進一步溝通會議時程以取得對方信任，一直到最後會寄出郵件與對方分享由TransferNow、TransferXL、WeTransfer或OneDrive等雲端儲存服務所代管的文件，但該文件卻暗藏了CVE-2021-40444開採程式，之後改為遞送BazarLoader與LNK捷徑，以於目標對象電腦上安裝BUMBLEBEE惡意程式，同時蒐集其裝置上的作業系統版本、使用者名稱、網域名稱，並接受來自C&C伺服器上的指令。

其實Google可能不是第一家發現Exotic Lily的業者，因為微軟曾經揭露的DEV-0413，或是Abnormal今年3月所描述的未命名駭客集團都與Exotic Lily極其相似。