メニュー
今週、Googleの脅威分析グループは、ContiおよびDiavolランサムウェアの操作に関連する最初のアクセスブローカーであると考えられるEXOTIC LILY脅威グループの作戦を公開しました。このグループは、Microsoft MSHTMLのゼロデイ脆弱性を悪用していることが判明した後、さらなる調査により、大規模なフィッシングキャンペーンを利用して企業ネットワークを狙い、侵入し、得られたアクセス権をランサムウェア集団や他の脅威アクターに売却していることが判明しました。
この脅威グループは、WeTransferやOneDriveなどの一般的なファイル転送サイトのダウンロードリンクを通じて被害者のネットワーク上にBazarLoaderマルウェアを展開することが確認されており、観察に基づき、彼らはランサムウェア集団Contiと関係があると判断しています。彼らの攻撃チェーンは、偽装ドメインを登録し、それを使ってメールを送り、ターゲットと関係を築き、最後にファイルホスティングサービス経由でペイロードを共有するという厳格な順序に従っているようです。また、LinkedInの偽アカウントを作成し、なりすまし先の組織で働いていると主張したり、AIが生成した画像や実際の従業員から盗んだ画像を使用して、偽アカウントの構築に利用することも確認されています。
NCSC Threat Reports Feed© 2021 CyberEnsō – 日本サイバーディフェンス株式会社。全著作権所有。
