グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見

今回は「グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見」についてご紹介します。

関連ワード (特定、米国、重点等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


Google(グーグル)の脅威分析グループは、ランサムウェア「Conti(コンチ)」を使う犯罪集団などロシアのハッカーの仲介役として働く、金銭的動機を持った脅威アクターの存在を確認したと発表した。

Googleが「EXOTIC LILY(エキゾチック・リリー)」と呼ぶこのグループは、初期アクセス手段のブローカーとして、脆弱な組織を見つけ、そのネットワークへのアクセス情報を、最高額の入札者に販売する。Contiのようなランサムウェア犯罪集団は、被害者となるネットワークへの初期アクセスをこのグループに委託することで、攻撃の実行段階に集中することができるというわけだ。

EXOTIC LILYの場合、この初期アクセスは標的に電子メールを送信する活動から始まる。メールのやり取りの中で、EXOTIC LILYはなりすまし用ドメインや偽のIDを使って、正当な組織や従業員を装う。多くの場合、なりすましドメインは、既存の組織の実際のドメイン名とほぼ同じだが、トップレベルドメインが「.us」「.co」「.biz」に変わっている。EXOTIC LILYは、なりすました組織の正当な従業員に見せかけるため、ソーシャルメディアに偽のプロフィールを作成し、そこにAIで生成された人間の顔の画像を使っていた。

この攻撃グループは、まずビジネス提案を口実に標的型フィッシングメールを送り、最終的にはWeTransfer(ウィートランスファー)やMicrosoft OneDrive(マイクロソフト・ワンドライブ)などの公開ファイル共有サービスにアップロードしたマルウェアをダウンロードさせるという手口を用いる。そのメール送信などの活動時間帯から、グループは中央または東ヨーロッパで活動している可能性が高いと、Googleは考えている。

Googleの研究者であるVlad Stolyarov(ヴラド・ストリャロフ)氏とBenoit Sevens(ブノワ・セブンス)氏は、公開前にTechCrunchに共有したブログ記事で「大規模な作戦に焦点を当てたサイバー犯罪グループにとって、このレベルの人的交流はかなり珍しい」と指摘している。

これらの悪意のあるペイロードは、当初はマイクロソフトのMSHTMLブラウザエンジンに存在するゼロデイ脆弱性(CVE-2021-40444として追跡されている)を悪用した文書の形をとっていたが、最近では攻撃者が「BazarLoader(バザーローダー)」マルウェアを隠したISOディスクイメージの配信に切り替えている。この移行から、Googleの研究者は、EXOTIC LILYが「WIZARD SPIDER(ウィザード・スパイダー)」という名称で追跡されているロシアのサイバー犯罪集団と関係があることが確認されたと述べている。UNC1878としても知られるWIZARD SPIDERは、2018年以降、企業や病院(米国のUniversal Health Services[ユニバーサル・ヘルス・サービス]を含む)、政府機関を標的に使用されてきた悪名高い「Ryuk(リューク)」ランサムウェアを使うサイバー攻撃組織だ。

この関係の性質は依然として不明だが、EXOTIC LILYはメール送信活動による初期アクセスの獲得に重点を置いており、Contiや「Diavol(ディアヴォル)」ランサムウェアの展開を含むその後の活動とは、別の独立した組織として運営されているようだと、Googleは述べている。

Googleによると、2021年9月に初めて観測され、現在も活動を続けているEXOTIC LILYは、活動のピーク時には1日に5000通以上のフィッシングメールを650もの組織に送信していたという。同グループは当初、ITやサイバーセキュリティ、ヘルスケアなど特定の業界をターゲットにしていたようだが、最近では、あまり特定の焦点にこだわらず、さまざまな組織や業界を攻撃し始めている。

Googleは、組織のネットワーク防御に役立てるため、EXOTIC LILYの大規模な電子メール活動から得たIOC(セキュリティ侵害インジケーター)も公開している。

画像クレジット:Yasin Ozturk / Getty Images


【原文】

Google’s Threat Analysis Group has observed a financially motivated threat actor working as an intermediary for the Russian hackers, including the Conti ransomware gang.

The group, which Google refers to as “Exotic Lily,” acts as an initial access broker, finding vulnerable organizations and selling access to their networks to the highest bidder. By contracting out the initial access to a victim’s network, ransomware gangs like Conti can focus on the execution phase of an attack.

In the case of Exotic Lily, this initial access was gained through email campaigns, in which the group masqueraded as legitimate organizations and employees through the use of domain and identity spoofing. In the majority of cases, a spoofed domain was nearly identical to the real domain name of an existing organization, but changed the top-level domains to “.us,” “.co” or “.biz.” In order to appear as legitimate employees, Exotic Lily set up social media profiles and AI-generated images of human faces.

The attackers, which Google believes are operating from Central or Eastern Europe due to the threat actors’ working hours, would then send spear-phishing emails under the pretext of a business proposal, before ultimately uploading a payload to a public file-sharing service such as WeTransfer or Microsoft OneDrive.

“This level of human interaction is rather unusual for cybercrime groups focused on mass-scale operations,” notes Google researchers Vlad Stolyarov and Benoit Sevens in a blog post shared with TechCrunch before publication.

These malicious payloads initially took the form of documents containing an exploit for a zero-day in Microsoft’s MSHTML browser engine (tracked as CVE-2021-40444), before the attackers switched to the delivery of ISO disk images containing hidden BazarLoader payloads. Google researchers say this shift confirms Exotic Lily’s relationship with a Russian cybercrime group tracked as Wizard Spider (also known as UNC1878), which is linked to the notorious Ryuk ransomware that has been used to target businesses, hospitals — including U.S-based Universal Health Services — and government institutions since 2018.

While the nature of this relationship remains unclear, Google says that Exotic Lily appears to operate as a separate entity, focusing on acquiring initial access through email campaigns, with follow-up activities that include deployment of Conti and Diavol ransomware.

Exotic Lily, which was first observed in September 2021 and is still active today, was sending more than 5,000 phishing emails a day to as many as 650 organizations during the peak of its activity, Google said. While the group initially seemed to be targeting specific industries such as IT, cybersecurity and healthcare, it has more recently begun attacking a wide variety of organizations and industries, with less of a specific focus.

Google has also shared indicators of compromise (IOCs) from Exotic Lily’s large-scale email campaign to help organizations defend their networks.

(文:Carly Page、翻訳:Hirokazu Kusakabe)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
スクラムガイドに新たに追加された「プロダクトゴール」とは? あるいはプロダクトゴールの設定には何が必要か?(前編) Regional Scrum Gathering Tokyo 2022
DevOps / アジャイル開発
2022-03-03 14:10
損保ジャパン、基幹システムを刷新–DXに当たりセキュリティ強化と開発業務を高度化
IT関連
2021-06-04 02:39
「GitHub Actions extension for VS Code」パブリックベータ公開。VSCodeからワークフローの実行と監視、管理が可能に
GitHub
2023-03-29 09:07
第48回:列伝8人目「転職ステップアップ型ひとり情シス」
IT関連
2022-09-16 22:56
LegalOn Technologies、「LegalOn Review」を米国で正式リリース
IT関連
2023-04-26 05:33
キヤノンMJ、AI-OCR活用で契約書入力作業を効率化–毎月約100時間削減
IT関連
2021-07-20 19:58
NVIDIAにサイバー攻撃か–調査が継続中
IT関連
2022-03-01 02:40
バイデン政権下、米国防総省が気候変動対策で作業部会を設置
EnviroTech
2021-03-12 16:25
マイクロソフトと富士通、5年間の戦略的なグローバル協業を発表
IT関連
2023-05-30 17:26
「Windows 11」へのアップグレード、セキュリティがカギとなる理由
IT関連
2021-07-13 14:03
2022年のサイバー攻撃を振り返る–ロシアによるウクライナ侵攻の影響も
IT関連
2022-12-17 22:34
AI時代の開発者–求められる数学とビジネス開発のスキル
IT関連
2024-01-16 04:37
アニメ「ひぐらしのなく頃に卒」の放送前情報が漏えい 製作委員会は法的措置も視野
企業・業界動向
2021-08-04 09:31
2023年はデータ活用が主役の「クラウド応用期」–グーグル・クラウド平手代表
IT関連
2023-01-06 22:38