谷歌发现“初始访问代理”与Conti勒索软件集团合作

谷歌威胁分析集团（TAG）揭开了一个新的初始访问代理的神秘面纱。该集团称，该代理与一个因Conti和Diavol勒索软件操作而臭名昭著的俄罗斯网络犯罪团伙密切相关。

被称为“异国情调莉莉”的这名出于经济动机的威胁行为人，被观察到利用微软Windows MSHTML平台（CVE-2021-40444）中一个现已修补的关键漏洞，作为广泛的网络钓鱼活动的一部分，该活动涉及每天向全球650家目标组织发送不少于5000封以商业提案为主题的电子邮件。

TAG研究人员弗拉德·斯托利亚罗夫和弗拉德·斯托利亚罗夫说：“初始访问经纪人是安全领域的机会主义锁匠，这是一项全职工作。”。“这些组织专门突破目标，为出价最高的恶意参与者打开大门或窗户。”

异军突起的莉莉，第一次发现在2021年9月，据说已经涉及到数据的渗出和部署的人类操作康蒂和迪亚沃勒索软件株，这两个共享重叠与向导蜘蛛，俄罗斯网络犯罪集团，这也是众所周知的操作TooBoT，BaZARB后门，和锚。

“是的，这是一种可能性，特别是考虑到这比传统的垃圾邮件活动更复杂、更有针对性，但我们目前还不确定，”当被问及“异国情调的百合”是否可能是巫师蜘蛛组织的另一个扩展时，谷歌标签告诉《黑客新闻》。

“在Conti泄密事件中，Conti成员提到‘垃圾邮件发送者’是指通过外包与他们合作的人（例如，提供定制的‘加密’恶意软件样本等）。然而，大多数‘垃圾邮件发送者’似乎没有出现在聊天中（或积极交流），因此得出结论，他们是作为一个独立实体运营的。”

威胁演员的社会工程诱饵，从欺骗电子邮件帐户发送，专门挑出IT，网络安全和医疗保健部门，虽然2021年11月后，袭击已变得更加不分青红皂白，针对各种各样的组织和行业。

除了使用虚构的公司和身份作为与目标实体建立信任的手段外，异国情调的Lily还利用WetTransfer、TransferNow和OneDrive等合法的文件共享服务提供BazarBackdoor有效负载，以逃避检测机制。

这些流氓角色通常伪装成亚马逊等公司的员工，并在LinkedIn上提供虚假的社交媒体个人资料，其中包含人工智能生成的虚假个人资料图片。据称，该组织还通过从社交媒体和商业数据库（如RocketReach和CrunchBase）中提取真实公司员工的个人数据来模拟真实公司员工。

“在最后阶段，攻击者会将有效负载上传到公共文件共享服务（TransferNow、TransferXL、WeTransfer或OneDrive）然后使用内置的电子邮件通知功能与目标共享文件，允许最终的电子邮件来自合法文件共享服务的电子邮件地址，而不是攻击者的电子邮件，这会带来额外的检测挑战，”研究人员说。

使用MHTML漏洞还提供了一个名为Bumblebee的定制加载程序，该加载程序经过精心设计，用于收集系统信息并将其导出到远程服务器，远程服务器响应命令以执行外壳代码并运行下一阶段的可执行程序，包括Cobalt Strike。

对异国情调百合的交流活动进行的分析表明，威胁参与者在工作日有“典型的朝九晚五的工作”，可能在中欧或东欧时区工作。

研究人员总结道：“异国情调的莉莉似乎是一个独立的实体，专注于通过电子邮件活动获取初始访问权限，后续活动包括部署Conti和Diavol勒索软件，这是由不同的参与者执行的。”。