Google認為在Conti與Diavol等勒索軟體產業鏈中,Exotic Lily扮演攻擊前鋒角色, 先假冒特定目標組織的網域名稱,偽造其員工頭像及身分,再以商業提案名義發送網釣郵件,誘騙對方下載微軟零時差漏洞CVE-2021-40444開採程式。(圖片來源/Google,Fré Sonneveld on unsplash)

Google本周揭露了一個駭客集團Exotic Lily,所扮演的角色為初始存取掮客(Initial Access Broker,IAB),它利用社交工程及開採微軟零時差漏洞CVE-2021-40444,取得特定組織的存取權之後,再交由俄羅斯駭客集團FIN12(或名Wizard Spider及DEV-0193)部署Conti與Diavol等勒索軟體。

初始存取掮客主要銷售特定組織的遠端存取權限,於勒索軟體即服務(RaaS)經濟中扮演重要的角色,根據資安業者Kela的統計,從2020年6月到2021年6月間,總計發現逾1,000個待售的存取權限,平均價格為5,400美元,中間價格則是1,000美元,受害組織有28%位於美國、6%位於法國,英國、澳洲及加拿大也都占了4%。

Google則發現以營利為目的的Exotic Lily與Conti及Diavol等勒索軟體的部署有密切關連,只是由不同駭客集團所操作,在Exotic Lily建立初始存取的高峰時段,該團隊每日寄送逾5,000封電子郵件予650家組織,並於本周公布了Exotic Lily所使用的攻擊戰術流程(Tactics, Techniques, and Procedures,TTP)以供外界參考。

Exotic Lily並非採用亂槍打鳥政策,而是針對特定目標展開攻擊,因此該集團會先假冒受害組織,例如申請仿冒受害組織的網域名稱,把.com改成.us、.co或.biz等;早期Exotic Lily會以AI偽造特定組織的員工頭像及身分,但從去年11月起,該集團開始冒用組織真正的員工資料,通常是以商業提案作為誘餌,傳送網釣郵件予目標組織。

圖片來源/Google

在與目標組織取得聯繫之後,還會進一步溝通會議時程以取得對方信任,一直到最後會寄出郵件與對方分享由TransferNow、TransferXL、WeTransfer或OneDrive等雲端儲存服務所代管的文件,但該文件卻暗藏了CVE-2021-40444開採程式,之後改為遞送BazarLoader與LNK捷徑,以於目標對象電腦上安裝BUMBLEBEE惡意程式,同時蒐集其裝置上的作業系統版本、使用者名稱、網域名稱,並接受來自C&C伺服器上的指令。

其實Google可能不是第一家發現Exotic Lily的業者,因為微軟曾經揭露的DEV-0413,或是Abnormal今年3月所描述的未命名駭客集團都與Exotic Lily極其相似。


熱門新聞

Advertisement