ランサムウェア「Conti」の世界的な感染拡大の裏で暗躍するサイバー犯罪組織「Exotic Lily」とは?
Googleの脅威分析グループが、近年猛威を振るうランサムウェアの「Conti」および「Diavol」の動向に大きく関与しているとされるサイバー犯罪集団「Exotic Lily」の手口を発表し、EXOTIC LILYが企業ネットワークからさまざまな情報を盗み出して第三者に販売する「アクセスブローカー」であることを明らかにしました。
Exposing initial access broker with ties to Conti
https://blog.google/threat-analysis-group/exposing-initial-access-broker-ties-conti/
Google exposes tactics of a Conti ransomware access broker
https://www.bleepingcomputer.com/news/security/google-exposes-tactics-of-a-conti-ransomware-access-broker/
Googleの脅威分析グループによると、Exotic LilyはInternet Explorerに搭載されているレンダリングエンジン「Trident」のゼロデイ脆弱(ぜいじゃく)性「CVE-2021-40444」を悪用しており、フィッシングによって標的の企業ネットワークに侵入し、そのネットワーク内部にある情報をランサムウェア集団に売りつけるアクセスブローカーであるとのこと。Exotic Lilyは1日に最大650もの組織に5000通以上のメールを送信しており、そのやり口の大規模さが示されています。
Exotic Lilyの行動パターンを分析した結果、活動時間はアメリカ東部標準時で平日の午前9時から午後5時で、週末はほとんど活動していないことが判明したとのこと。このことから、Exotic Lilyはフリーのクラッカーが無秩序に集まっているのではなく、まるで企業のように、一定の労働条件の下でネットワークのハッキングを行うことで給料を受け取る業務形態であることがわかります。さらに、ただネットワークから情報を集めるだけではなく、事業提案書のテンプレートの編集、なりすまし用のドメイン登録、ドメインを使ったメール送信、マルウェアのペイロードのアップロード、標的との関係構築、標的とのリンク共有など、標的のネットワークから情報を集めるための地道な作業も行っているとのこと。
Exotic Lilyによるフィッシングの手口とは、標的に偽造サイトへアクセスさせてマルウェアをダウンロードさせるというもので、標的への連絡手段は公開されているメールアドレスやウェブサイトの問い合わせフォームが使われるとのこと。また、ビジネス特化型SNSであるLinkedInに、AIが生成した偽の画像や実際の従業員の写真をそのまま使用して、なりすました組織で働いていることを証明することもあるそうです。
実際にLinkedInに作成された偽のプロフィール画像
Exotic Lilyは標的と関係を構築するため、最初に事業の提案やサービスの要件をメールで送信するなど、真面目なビジネスの話をメールで行い、標的からサイバー犯罪組織によるなりすましだと思われないように振る舞います。そして、標的が警戒心を解くと、攻撃者はさまざまなファイル共有サービスやクラウドサービス経由でマルウェアのダウンロードリンクを共有します。
Exotic Lilyが配布するマルウェアは「BazarLoader」と呼ばれるバックドアアクセスを提供するもので、初期は文書ファイルに偽造して配布されていましたが、最近はDLL形式のファイルとショートカットリンクを含むISO形式のイメージファイルで配布しているとのこと。Googleの脅威分析グループは、近年標的型ランサムウェアとして猛威を振るうContiやDiavolは、Exotic Lilyが使っているのではなく、Exotic Lilyから企業ネットワークの情報やバックドアアクセスの権限を購入した別組織であるとしています。また、Googleの脅威分析グループは、使用しているマルウェアや攻撃手段から、「WizardSpider」という名で知られているロシアのサイバー犯罪グループとの関係を示唆しました。
Googleの脅威分析グループは、「サイバー犯罪組織の活動の標的となったり被害を受けたりした可能性のある企業や個人の意識を高めるために、私たちの調査結果を共有することを約束します。Exotic Lilyの戦術や技術に対する理解が深まることで、脅威に対する探索能力が向上し、業界全体でユーザー保護の強化につながることを期待しています」とコメントしました。
・関連記事
「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出 - GIGAZINE
ハッカーがiPhoneユーザーに悪意あるアプリをインストールさせる手口とは? - GIGAZINE
ロシア政府が支援するハッカーがWindowsの印刷スプーラーに見つかった「PrintNightmare」を突いてNGOに侵入しているとFBIが警告 - GIGAZINE
データを完全破壊するワイパー型マルウェア「CaddyWiper」がウクライナで見つかる、ロシアによる侵攻直前からこれで3つ目 - GIGAZINE
中国政府系ハッカー集団「APT41」が少なくともアメリカ6州の政府系ネットワークを攻略していたという報告、Log4Shellなどの脆弱性を突き - GIGAZINE
ロシアの侵略前からウクライナのサイバー防衛のための極秘ミッションをアメリカが進めていたことが明らかに、すでに100万人の命を救ったとも - GIGAZINE
・関連コンテンツ