Google本周披露了一个黑客集团Exotic Lily,所扮演的角色为初始访问掮客(Initial Access Broker,IAB),它利用社交工程及开采微软零时差漏洞CVE-2021-40444,取得特定组织的访问权之后,再交由俄罗斯黑客集团FIN12(或名Wizard Spider及DEV-0193)部署Conti与Diavol等勒索软件。
初始访问掮客主要销售特定组织的远程访问权限,于勒索软件即服务(RaaS)经济中扮演重要的角色,根据安全企业Kela的统计,从2020年6月到2021年6月间,总计发现超过1,000个待售的访问权限,平均价格为5,400美元,中间价格则是1,000美元,受害组织有28%位于美国、6%位于法国,英国、澳洲及加拿大也都占了4%。
Google则发现以盈利为目的的Exotic Lily与Conti及Diavol等勒索软件的部署有密切关联,只是由不同黑客集团所操作,在Exotic Lily创建初始访问的高峰时段,该团队每日发送超过5,000封电子邮件给650家组织,并于本周公布了Exotic Lily所使用的攻击战术流程(Tactics, Techniques, and Procedures,TTP)以供外界参考。
Exotic Lily并非采用乱枪打鸟政策,而是针对特定目标展开攻击,因此该集团会先假冒受害组织,例如申请仿冒受害组织的域名名称,把.com改成.us、.co或.biz等;早期Exotic Lily会以AI伪造特定组织的员工头像及身份,但从去年11月起,该集团开始冒用组织真正的员工资料,通常是以商业提案作为诱饵,发送网络钓鱼邮件给目标组织。
图片来源/Google
在与目标组织取得联系之后,还会进一步沟通会议进程以取得对方信任,一直到最后会发送邮件与对方分享由TransferNow、TransferXL、WeTransfer或OneDrive等云计算存储服务所托管的文件,但该文件却暗藏了CVE-2021-40444开采程序,之后改为传送BazarLoader与LNK捷径,以于目标对象计算机上安装BUMBLEBEE恶意程序,同时搜集其设备上的操作系统版本、用户名、域名名称,并接受来自C&C服务器上的指令。
其实Google可能不是第一家发现Exotic Lily的企业,因为微软曾经披露的DEV-0413,或是Abnormal今年3月所描述的未命名黑客集团都与Exotic Lily极其相似。