グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見

今回は「グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見」についてご紹介します。

関連ワード (特定、米国、重点等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


Google(グーグル)の脅威分析グループは、ランサムウェア「Conti(コンチ)」を使う犯罪集団などロシアのハッカーの仲介役として働く、金銭的動機を持った脅威アクターの存在を確認したと発表した。

Googleが「EXOTIC LILY(エキゾチック・リリー)」と呼ぶこのグループは、初期アクセス手段のブローカーとして、脆弱な組織を見つけ、そのネットワークへのアクセス情報を、最高額の入札者に販売する。Contiのようなランサムウェア犯罪集団は、被害者となるネットワークへの初期アクセスをこのグループに委託することで、攻撃の実行段階に集中することができるというわけだ。

EXOTIC LILYの場合、この初期アクセスは標的に電子メールを送信する活動から始まる。メールのやり取りの中で、EXOTIC LILYはなりすまし用ドメインや偽のIDを使って、正当な組織や従業員を装う。多くの場合、なりすましドメインは、既存の組織の実際のドメイン名とほぼ同じだが、トップレベルドメインが「.us」「.co」「.biz」に変わっている。EXOTIC LILYは、なりすました組織の正当な従業員に見せかけるため、ソーシャルメディアに偽のプロフィールを作成し、そこにAIで生成された人間の顔の画像を使っていた。

この攻撃グループは、まずビジネス提案を口実に標的型フィッシングメールを送り、最終的にはWeTransfer(ウィートランスファー)やMicrosoft OneDrive(マイクロソフト・ワンドライブ)などの公開ファイル共有サービスにアップロードしたマルウェアをダウンロードさせるという手口を用いる。そのメール送信などの活動時間帯から、グループは中央または東ヨーロッパで活動している可能性が高いと、Googleは考えている。

Googleの研究者であるVlad Stolyarov(ヴラド・ストリャロフ)氏とBenoit Sevens(ブノワ・セブンス)氏は、公開前にTechCrunchに共有したブログ記事で「大規模な作戦に焦点を当てたサイバー犯罪グループにとって、このレベルの人的交流はかなり珍しい」と指摘している。

これらの悪意のあるペイロードは、当初はマイクロソフトのMSHTMLブラウザエンジンに存在するゼロデイ脆弱性(CVE-2021-40444として追跡されている)を悪用した文書の形をとっていたが、最近では攻撃者が「BazarLoader(バザーローダー)」マルウェアを隠したISOディスクイメージの配信に切り替えている。この移行から、Googleの研究者は、EXOTIC LILYが「WIZARD SPIDER(ウィザード・スパイダー)」という名称で追跡されているロシアのサイバー犯罪集団と関係があることが確認されたと述べている。UNC1878としても知られるWIZARD SPIDERは、2018年以降、企業や病院(米国のUniversal Health Services[ユニバーサル・ヘルス・サービス]を含む)、政府機関を標的に使用されてきた悪名高い「Ryuk(リューク)」ランサムウェアを使うサイバー攻撃組織だ。

この関係の性質は依然として不明だが、EXOTIC LILYはメール送信活動による初期アクセスの獲得に重点を置いており、Contiや「Diavol(ディアヴォル)」ランサムウェアの展開を含むその後の活動とは、別の独立した組織として運営されているようだと、Googleは述べている。

Googleによると、2021年9月に初めて観測され、現在も活動を続けているEXOTIC LILYは、活動のピーク時には1日に5000通以上のフィッシングメールを650もの組織に送信していたという。同グループは当初、ITやサイバーセキュリティ、ヘルスケアなど特定の業界をターゲットにしていたようだが、最近では、あまり特定の焦点にこだわらず、さまざまな組織や業界を攻撃し始めている。

Googleは、組織のネットワーク防御に役立てるため、EXOTIC LILYの大規模な電子メール活動から得たIOC(セキュリティ侵害インジケーター)も公開している。

画像クレジット:Yasin Ozturk / Getty Images


【原文】

Google’s Threat Analysis Group has observed a financially motivated threat actor working as an intermediary for the Russian hackers, including the Conti ransomware gang.

The group, which Google refers to as “Exotic Lily,” acts as an initial access broker, finding vulnerable organizations and selling access to their networks to the highest bidder. By contracting out the initial access to a victim’s network, ransomware gangs like Conti can focus on the execution phase of an attack.

In the case of Exotic Lily, this initial access was gained through email campaigns, in which the group masqueraded as legitimate organizations and employees through the use of domain and identity spoofing. In the majority of cases, a spoofed domain was nearly identical to the real domain name of an existing organization, but changed the top-level domains to “.us,” “.co” or “.biz.” In order to appear as legitimate employees, Exotic Lily set up social media profiles and AI-generated images of human faces.

The attackers, which Google believes are operating from Central or Eastern Europe due to the threat actors’ working hours, would then send spear-phishing emails under the pretext of a business proposal, before ultimately uploading a payload to a public file-sharing service such as WeTransfer or Microsoft OneDrive.

“This level of human interaction is rather unusual for cybercrime groups focused on mass-scale operations,” notes Google researchers Vlad Stolyarov and Benoit Sevens in a blog post shared with TechCrunch before publication.

These malicious payloads initially took the form of documents containing an exploit for a zero-day in Microsoft’s MSHTML browser engine (tracked as CVE-2021-40444), before the attackers switched to the delivery of ISO disk images containing hidden BazarLoader payloads. Google researchers say this shift confirms Exotic Lily’s relationship with a Russian cybercrime group tracked as Wizard Spider (also known as UNC1878), which is linked to the notorious Ryuk ransomware that has been used to target businesses, hospitals — including U.S-based Universal Health Services — and government institutions since 2018.

While the nature of this relationship remains unclear, Google says that Exotic Lily appears to operate as a separate entity, focusing on acquiring initial access through email campaigns, with follow-up activities that include deployment of Conti and Diavol ransomware.

Exotic Lily, which was first observed in September 2021 and is still active today, was sending more than 5,000 phishing emails a day to as many as 650 organizations during the peak of its activity, Google said. While the group initially seemed to be targeting specific industries such as IT, cybersecurity and healthcare, it has more recently begun attacking a wide variety of organizations and industries, with less of a specific focus.

Google has also shared indicators of compromise (IOCs) from Exotic Lily’s large-scale email campaign to help organizations defend their networks.

(文:Carly Page、翻訳:Hirokazu Kusakabe)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
第35回:情シスが“一人以下”の中堅中小企業が減少
IT関連
2022-08-03 03:44
バイオテック関連スタートアップのY Combinatorが次世代の治療法とツールを開発中
バイオテック
2021-04-06 05:45
「ChatGPT」、回答の条件をあらかじめ設定できる機能を追加
IT関連
2023-07-22 12:50
Dropboxがフィッシング攻撃の被害に–GitHubに保存していたコードの一部が窃取
IT関連
2022-11-03 08:44
Cloudflare、1秒に2600万件の過去最大級DDoS攻撃に対処
IT関連
2022-06-17 10:41
NTT研究開発部門が商用化した「連鎖型AIサービス」は奏功するか
IT関連
2024-09-07 22:42
ソフトウェアサプライチェーンのセキュリティ向上へ–Linux Foundationらが発表した署名サービス
IT関連
2021-03-17 05:07
「Raspberry Pi」パワーユーザー向けの冷却ファン
IT関連
2023-04-02 06:45
ライフがネットスーパーの新会社 配送網の整備や専用アプリの開発など
企業・業界動向
2021-04-09 16:29
【コラム】私たちのポートフォリオの50%が女性CEOの会社である理由
IT関連
2022-01-29 23:18
ダイバーシティとインクルージョンの促進に注力する投資会社Kapor Capitalが約133億円調達
パブリック / ダイバーシティ
2021-03-02 17:13
バンダイナムコが注力する「IP軸戦略」とグループ横断のデータ分析組織とは
IT関連
2023-11-07 09:39
NEC通信システムら、ドローン自律制御に向けたリアルタイム位置測位の技術を実証
IT関連
2023-09-17 03:53
IT企業に影響を及ぼす2024年の上位トレンド10選
IT関連
2024-02-11 18:39