谷歌威脅分析小組(TAG)剛剛觀察到了一個出于經濟動機、而充當黑客中間人的威脅行為者，可知其“客戶”包括了 Conti 勒索軟件團伙。Google 將該組織稱作“Exotic Lily”，它會充當初始訪問代理，尋找易受攻擊的組織、并將其網絡訪問權掛牌轉售給出價最高的攻擊者。

Exotic Lily 攻擊鏈(來自：TAG)

通過將對受害者網絡的初始訪問給“外包”掉，類似 Conti 這樣的勒索軟件團伙，便可更加專注于攻擊和執行。

起初，Exotic Lily 會通過釣魚郵件，假扮合法組織及其員工(甚至創建了配套的社交媒體資料 / AI 生成的人臉圖像)，以引誘經驗不足的受害者上鉤。

大多數情況下，假冒域名會模仿得非常相似，但頂級域的“尾巴”還是相當容易露餡的(比如 .us、.co 或 .biz)。

通過對其“工作時段”進行分析，Google 認為幕后黑手可能生活在中東歐地區，然后假借商業提案等借口發送釣魚郵件。

假冒身份的釣魚郵件示例

為了躲避電子郵件服務商的安全篩查，Exotic Lily 還會將“有效負載”上傳到公共文件托管服務平臺(比如 WeTransfer 或 OneDrive 網盤)。

研究人員 Vlad Stolyarov 和 Benoit Sevens 在一篇博文中指出：“這種程度的人機交互，對那些專注于大規模運營的網絡犯罪組織來說，是相當不同于尋常的”。

攻擊者利用了文件共享服務的郵件通知功能

這些惡意負載最初采用了文檔的形式，但其中包含了對微軟 MSHTML 瀏覽器引擎的零日漏洞利用(CVE-2021-40444)，以轉向包含隱藏惡意負載的 BazarLoader ISO 磁盤映像。

這一轉變證實了 Exotic Lily 與被追蹤的 Wizard Spider(又名 UNC1878)的俄羅斯網絡犯罪組織之間的聯系，據說后者與臭名昭著的 Ryuk 勒索軟件攻擊事件有關。

顏色深淺代表了惡意活動的活躍度

自 2018 年以來，UNC1878 有對許多企業、醫院(包括美國 UHS)和政府機構發動過勒索軟件攻擊。

雖然它與 Exotic Lily 之間的關系仍有待進一步厘清，但后者似乎屬于一個獨立運作的實體，專注于通過釣魚郵件來獲得針對受害目標的初始網絡訪問權限，然后轉手賣給 Conti 和 Diavol 等勒索軟件攻擊發起者。

命令行參數示例

Google 表示，Exotic Lily 于 2021 年 9 月首次被發現，至今仍處于活躍狀態。在其活動高峰期間，每日有向多達 650 個組織發送超過 5000 封網絡釣魚電子郵件。

雖然該組織最初似乎針對特定行業(比如 IT、網絡安全和醫療保健)，但它最近已經開始攻擊各式各樣的行業與組織。

最后，Google 分享了 Exotic Lily 的大型電子郵件活動中的攻陷信標(IOC)，以幫助各個組織更好地保護自身網絡。