首页 > 安全 > 正文

异国情调的百合初始访问经纪人与Conti Gang合作

最后更新 :2022.03.19

googles威胁分析组(标签)未发现一个名为Exotic Lily的新的初始访问经纪人,与Conti Ransomware Gang密切相关。

Googles威胁分析组(标签)研究人员链接了一个新的初始访问经纪人,命名为异国情调百合,到CONTI赎金软件操作。

初始接入经纪人在网络犯罪生态系统中发挥着重要作用,他们提供对先前受到的组织来威胁演员的访问权限。

在2021年9月首次发现异国情调的百合,当时观察到蔓延人 - 操作的CONTI和DIAVOL Ransomware。

在9月2021年初,威胁分析组(标签)观察了一个经济上积极的威胁演员,我们称之为异国情调的百合,在Microsoft MSHTML中利用0天(CVE-2021-40444)。调查这组活动,我们确定他们是初步访问经纪人(IAB),似乎与俄罗斯网络犯罪团伙kn合作拥有Fin12(Mandiant,Fireeye)/巫师蜘蛛(Crowdstrike)。读取由Google标签发布的帖子。

异国情调的百合网络犯罪集团正在利用Microsoft Windows MSHTML漏洞(CVE-2021-40444)在其网络钓鱼活动中。专家观察到威胁演员在其活动的高峰期发送超过5,000个商业提案主题电子邮件,每天到全球650个目标实体。

与异国情调的百合威胁演员相关的攻击链仍然保持相对一致,Google标签研究人员解释说。

威胁演员使用域名和身份欺骗技术来获得额外的可信度与目标组织。EXOTIC LILY attack chain
异国情调的百合使用欺骗电子邮件账户将社会工程诱惑发送到多个行业的组织,并与目标实体建立可信赖的联系。
异国情调百合也使用了内置的电子邮件通知功能实现通过合法的文件共享服务(即WETRANSFER,TRAVERNOW和ONEDRIVE)与逃避检测的受害者共享与恶意文件的链接。

在3月,观察到该组传递ISO文件,但包含DLL自定义装载机BumbleBee。BumbleBee使用WMI来收集目标系统信息,包括OS版本,用户名和域名。也观察到大黄蜂来获取钴罢工有效载荷。

威胁演员的沟通的分析透露,该集团从9比5起作用,周末的活动很少。演员的工作时间建议他们可能是一个中央或东欧的时区。

对异国情调的百合性通信活动的分析表明,威胁演员在工作日和5月有一个典型的9到5个工作可能从中央或东欧时区工作。

我们相信沿着携带Bazarloader的转变ith其他一些指标,如独特的钴罢工轮廓(由风险Q描述)进一步证实存在异国情调百合与俄罗斯网络犯罪集团的行动之间的关系,追踪为巫师蜘蛛(Crowdstrike),Fin12(Mandiant,FireeEye)和Dev-0193(微软)。研究人员得出结论。虽然这些关系的性质仍然不清楚,但异国情调的百合似乎是一个单独的实体,专注于通过电子邮件广告系列获取初步访问,其中包括由不同集合执行的Conti和Diavol ransomware的后续活动。演员。

- END -

看更多