ក្រុម Exotic Lily ក្រុម aka PROJECTOR LIBRA និងក្រុម TA580 គឺជាភ្នាក់ងារកណ្តាលចូលដំណើរការដំបូង (IAB)។ ចាប់តាំងបង្ហាញខ្លួនមក ភ្នាក់ងារគំរាមកំហែងនេះទទួលភាពល្បីល្បាញនៅក្រោមទំនាក់ទំនងរបស់វាជាមួយក្រុមមេរោគ ransomware រាប់បញ្ចូលទាំងមេរោគ Diavol និងមេរោគ Conti។ កាលពីពេលថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន ReliaQuest ប្រទះឃើញ និងស៊ើបអង្កេតការប៉ុនប៉ងបន្លំពីក្រុមគំរាមកំហែងនេះ។
ការវាយប្រហារមានជាប់ពាក់ព័ន្ធនឹងម៉េលដែលផ្ញើទៅគោលដៅដោយក្លែងធ្វើជាឱកាសអាជីវកម្មដ៏មានសក្តានុពល។ ក្រុម Exotic Lily ប្រើដូម៉េនក្លែងបន្លំដើម្បីធ្វើឱ្យវាបបង្ហាញឡើងហាក់ដូចជាវាមានប្រភពចេញពីអង្គការស្របច្បាប់។ ភាពខុសគ្នាតែមួយគត់រវាងដូម៉េនទាំងពីរគឺដូម៉េនកម្រិតកំពូល។ នៅពេលដែលទំនាក់ទំនងត្រូវបង្កើតឡើង ដំណាក់កាលបន្ទាប់មានពាក់ព័ន្ធនឹងការបង្ហោះឯកសារ zip file ព្យាបាទនៅលើវេទិកាចែករំលែកឯកសារល្បីដូចជា WeTransfer, OneDrive, TransferNow និង TransferXL ។
ក្រុម Exotic Lily ប្រើ Windows shortcuts ដើម្បីបញ្ជូនកម្មវិធីផ្ទុក BumbleBee ដើម្បីដំឡើងមាតិកាព្យាបាទនៅលើទ្រព្យសម្បត្តិរបស់ជនរងគ្រោះ។ គេស្គាល់ ក្រុម Exotic Lily ដោយសារតែជំនាញរបស់វាក្នុងការទទួលព័ត៌មានចូលពីគោលដៅសំខាន់ៗដោយការប្រើប្រាស់បច្ចេកទេសដូចជាការក្លែងបន្លំបុគ្គលិក OSINT និងការបង្កើតឯកសារក្លែងបន្លំដែលបញ្ចុះបញ្ចូល។ ក្រុម Exotic Lily ទទួលការទាក់ទាញ និងជោគជ័យយ៉ាងច្រើនដោយការយកចិត្តទុកដាក់ចំពោះព័ត៌មានលម្អិតនៃយុទ្ធនាការបន្លំរបស់វា។ អ្នកវាយប្រហារអនុវត្តតាមនីតិវិធីដែលបង្កើតឡើងយ៉ាងល្អ ដែលជាធម្មតាចាប់ផ្តើមជាមួយនឹងការចាប់ផ្តើមការសន្ទនាបើកចំហជាមួយជនរងគ្រោះ។ កម្រងព័ត៌មានទាំងនេះកេងប្រវ័ញ្ចកត្តាទំនុកចិត្តដែលបង្កប់ន័យដើម្បីទាក់ទាញជនរងគ្រោះឱ្យចូលទៅកាន់គេហទំព័រដែលមើលទៅគ្មានកំហុស ដែលបញ្ចប់ដោយការទាញយកបន្ទុកដែលបង្កគ្រោះថ្នាក់។
របាយការណ៍កាលពីខែមករាបង្ហាញថាការចូលប្រើប្រាស់សាជីវកម្មដែលលក់ដោយ IABs នៅលើគេហទំព័រងងឹតកើនឡើងទ្វេដងក្នុងឆ្នាំ2022 ដោយមានករណីចំនួន 2,348 ត្រូវអង្កេតនៅចន្លោះឆមាសទី2នៃឆ្នាំ2021 និងឆមាសទី1នៃឆ្នាំ2022។ IABs កំណត់គោលដៅជាចម្បងលើក្រុមហ៊ុនដែលកំពុងប្រតិបត្តិការក្នុងវិស័យផលិតកម្ម (5.8%) សេវាកម្មហិរញ្ញវត្ថុ (5.1%) អចលនទ្រព្យ (4.6%) និងការអប់រំ (4.2%) នៅសហរដ្ឋអាមេរិក។ ប្រភេទនៃការចូលប្រើទូទៅបំផុតដែលផ្តល់ជូនគឺ VPNs ដែលត្រូវសម្របសម្រួល (37%) និង RDP (36%)។
ប្រសិនបើក្រុមគម្រាមកំហែង ក្រុម Exotic Lily កំណត់គោលដៅលើអង្គការមួយ វាគួរតែត្រូវធានាថាឥរិយាបថសុវត្ថិភាពបច្ចុប្បន្នគឺរឹងមាំ។ ក្រុមអ្នកស្រាវជ្រាវ ReliaQuest ផ្តល់ដំបូន្មានឱ្យបញ្ឈប់ការចែករំលែកឯកសារដែលមិនមានការអនុញ្ញាត គេហទំព័រ torrent និងគេហទំព័រ peer-to-peer។ លើសពីនេះ ការបង្កើតគោលការណ៍រឹងមាំ និងការគ្រប់គ្រងការចូលប្រើរបស់អ្នកប្រើប្រាស់សម្រាប់អ្វីដែលអាចប្រតិបត្តិត្រូវអនុញ្ញាតនៅលើបណ្តាញសាជីវកម្មត្រូវណែនាំ៕
ប្រភពព័ត៌មាន cyware ចុះផ្សាយថ្ងៃទី១២ ខែមីនា ឆ្នាំ២០២៣