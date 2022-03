Googleの脅威分析グループが、近年猛威を振るうランサムウェアの「 Conti 」および「 Diavol 」の動向に大きく関与しているとされるサイバー犯罪集団「 Exotic Lily 」の手口を発表し、EXOTIC LILYが企業ネットワークからさまざまな情報を盗み出して第三者に販売する「アクセスブローカー」であることを明らかにしました。 Exposing initial access broker with ties to Conti https://blog.google/threat-analysis-group/exposing-initial-access-broker-ties-conti/ Google exposes tactics of a Conti ransomware access broker https://www.bleepingcomputer.com/news/security/google-exposes-tactics-of-a-conti-ransomware-access-broker/ Googleの脅威分析グループによると、Exotic LilyはInternet Explorerに搭載されているレンダリングエンジン「 Trident 」のゼロデイ脆弱(ぜいじゃく)性「 CVE-2021-40444 」を悪用しており、 フィッシング によって標的の企業ネットワークに侵入し、そのネットワーク内部にある情報をランサムウェア集団に売りつけるアクセスブローカーであるとのこと。Exotic Lilyは1日に最大650もの組織に5000通以上のメールを送信しており、そのやり口の大規模さが示されています。 Exotic Lilyの行動パターンを分析した結果、活動時間はアメリカ東部標準時で平日の午前9時から午後5時で、週末はほとんど活動していないことが判明したとのこと。このことから、Exotic Lilyはフリーの クラッカー が無秩序に集まっているのではなく、まるで企業のように、一定の労働条件の下でネットワークのハッキングを行うことで給料を受け取る業務形態であることがわかります。さらに、ただネットワークから情報を集めるだけではなく、事業提案書のテンプレートの編集、なりすまし用のドメイン登録、ドメインを使ったメール送信、マルウェアの ペイロード のアップロード、標的との関係構築、標的とのリンク共有など、標的のネットワークから情報を集めるための地道な作業も行っているとのこと。 Exotic Lilyによるフィッシングの手口とは、標的に偽造サイトへアクセスさせてマルウェアをダウンロードさせるというもので、標的への連絡手段は公開されているメールアドレスやウェブサイトの問い合わせフォームが使われるとのこと。また、ビジネス特化型SNSである LinkedIn に、AIが生成した偽の画像や実際の従業員の写真をそのまま使用して、なりすました組織で働いていることを証明することもあるそうです。 実際にLinkedInに作成された偽のプロフィール画像

2022年03月18日 14時15分00秒 in セキュリティ, Posted by log1i_yk

