谷歌威脅分析小組（TAG）剛剛觀察到了一個出於經濟動機、而充當黑客中間人的威脅行為者，可知其“客戶”包括了Conti 勒索軟件團伙。Google 將該組織稱作“Exotic Lily”，它會充當初始訪問代理，尋找易受攻擊的組織、並將其網絡訪問權掛牌轉售給出價最高的攻擊者。

Exotic Lily 攻擊鏈（來自：TAG）

通過將對受害者網絡的初始訪問給“外包”掉，類似Conti 這樣的勒索軟件團伙，便可更加專注於攻擊和執行。

起初，Exotic Lily 會通過釣魚郵件，假扮合法組織及其員工（甚至創建了配套的社交媒體資料/ AI 生成的人臉圖像），以引誘經驗不足的受害者上鉤。

大多數情況下，假冒域名會模仿得非常相似，但頂級域的“尾巴”還是相當容易露餡的（比如.us、.co 或.biz）。

通過對其“工作時段”進行分析，Google 認為幕後黑手可能生活在中東歐地區，然後假借商業提案等藉口發送釣魚郵件。

假冒身份的釣魚郵件示例

為了躲避電子郵件服務商的安全篩查，Exotic Lily 還會將“有效負載”上傳到公共文件託管服務平台（比如WeTransfer 或OneDrive 網盤）。

研究人員Vlad Stolyarov 和Benoit Sevens 在一篇博文中指出：“這種程度的人機交互，對那些專注於大規模運營的網絡犯罪組織來說，是相當不同於尋常的”。

攻擊者利用了文件共享服務的郵件通知功能

這些惡意負載最初採用了文檔的形式，但其中包含了對微軟MSHTML 瀏覽器引擎的零日漏洞利用（CVE-2021-40444），以轉向包含隱藏惡意負載的BazarLoader ISO 磁盤映像。

這一轉變證實了Exotic Lily 與被追踪的Wizard Spider（又名UNC1878）的俄羅斯網絡犯罪組織之間的聯繫，據說後者與臭名昭著的Ryuk 勒索軟件攻擊事件有關。

顏色深淺代表了惡意活動的活躍度

自2018 年以來，UNC1878 有對許多企業、醫院（包括美國UHS）和政府機構發動過勒索軟件攻擊。

雖然它與Exotic Lily 之間的關係仍有待進一步釐清，但後者似乎屬於一個獨立運作的實體，專注於通過釣魚郵件來獲得針對受害目標的初始網絡訪問權限，然後轉手賣給Conti 和Diavol 等勒索軟件攻擊發起者。

命令行參數示例

Google 表示，Exotic Lily 於2021 年9 月首次被發現，至今仍處於活躍狀態。在其活動高峰期間，每日有向多達650 個組織發送超過5000 封網絡釣魚電子郵件。

雖然該組織最初似乎針對特定行業（比如IT、網絡安全和醫療保健），但它最近已經開始攻擊各式各樣的行業與組織。

最後，Google 分享了Exotic Lily 的大型電子郵件活動中的攻陷信標（IOC），以幫助各個組織更好地保護自身網絡。