谷歌的威胁分析小组发现一个被称为“Exotic Lily”的小组作为初始访问代理 - 破坏目标网络,然后将获得的访问权出售给出价最高的人。
勒索软件运营商通常将最初的访问工作外包,以便完全专注于勒索软件 本身的分发,以及随后推动赎金支付。
假领英骗局
谷歌声称,Exotic Lily 在其策略上相对先进,并使用“不寻常”的大量繁琐工作来进行大规模操作。
该组织将使用域和身份欺骗来伪装成合法企业,并发送网络钓鱼电子邮件,通常是伪造商业提案。他们还将使用公开可用的人工智能 (AI) 工具来生成真实的人类图像,创建虚假的 LinkedIn 帐户,这将有助于提高竞选活动的可信度。
在进行初步接触后,威胁行为者会将恶意软件上传到公共文件共享服务,例如 WeTransfer,以避免被防病毒程序检测,并增加传递到目标端点的机会。该恶意软件通常是一个武器化文档,利用了微软 MSHTML 浏览器引擎中的零日漏洞,被跟踪为 CVE-2021-40444。第二阶段部署通常携带 BazarLoader。
谷歌的研究人员认为,该组织是独立的,并且为出价更高的人工作。到目前为止,它与 Conti、Diavol、Wizard Spider(据称是 Ryuk 勒索软件的运营商)有关。
谷歌称,Exotic Lily 于去年 9 月首次被发现,在性能最佳时,能够向 650 多个组织发送超过 5,000 封网络钓鱼电子邮件。威胁者似乎主要关注 IT、网络安全和医疗保健领域的公司,尽管最近它已经撒下了更大的网络。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理