Google(グーグル)の脅威分析グループは、ランサムウェア「Conti(コンチ)」を使う犯罪集団などロシアのハッカーの仲介役として働く、金銭的動機を持った脅威アクターの存在を確認したと発表した。
Googleが「EXOTIC LILY(エキゾチック・リリー)」と呼ぶこのグループは、初期アクセス手段のブローカーとして、脆弱な組織を見つけ、そのネットワークへのアクセス情報を、最高額の入札者に販売する。Contiのようなランサムウェア犯罪集団は、被害者となるネットワークへの初期アクセスをこのグループに委託することで、攻撃の実行段階に集中することができるというわけだ。
EXOTIC LILYの場合、この初期アクセスは標的に電子メールを送信する活動から始まる。メールのやり取りの中で、EXOTIC LILYはなりすまし用ドメインや偽のIDを使って、正当な組織や従業員を装う。多くの場合、なりすましドメインは、既存の組織の実際のドメイン名とほぼ同じだが、トップレベルドメインが「.us」「.co」「.biz」に変わっている。EXOTIC LILYは、なりすました組織の正当な従業員に見せかけるため、ソーシャルメディアに偽のプロフィールを作成し、そこにAIで生成された人間の顔の画像を使っていた。
この攻撃グループは、まずビジネス提案を口実に標的型フィッシングメールを送り、最終的にはWeTransfer
スポンサーリンク
グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見
IT起業ニュース
コメント