新闻资讯
全部分类

金融黑客组织FIN7以网络安全公司的名义招兵买马,并以渗透测试的名义发动勒索软件攻击

  • 分类:行业洞察
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-10-28 11:42
  • 访问量:

【概要描述】

金融黑客组织FIN7以网络安全公司的名义招兵买马,并以渗透测试的名义发动勒索软件攻击

【概要描述】

  • 分类:行业洞察
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-10-28 11:42
  • 访问量:
详情


【导语】黑客设立假的网络安全公司,打算雇佣IT人才来进行网络攻击,然后在背后坐享其成!Gemini Advisory的研究人员揭露了俄罗斯黑客组织FIN7的勒索软件攻击行动,他们通过成立假的网络安全公司Bastion Secure来找寻帮手。

FIN7黑客组织正试图进入勒索软件行业,并且使用了一种有趣的技术。该团伙创建了虚假的网络安全公司Bastion Secure,聘请网络安全专家,并要求他们以渗透测试活动为幌子进行勒索软件攻击。

FIN7是一个俄罗斯犯罪集团,自2015年年中以来一直活跃,主要目标针对美国的餐馆、赌博和酒店业,以获取用于攻击或在网络犯罪市场出售的金融信息。

这起攻击行动究竟是如何被发现的?网络犯罪组织以这一目的成立的公司之一是Combi Security,但Gemini Advisory的研究人员分析了另一家假冒网络安全公司Bastion Security的网站,发现了其他类似的公司。该公司名为Bastion Secure,声称为世界各地的私营公司和公共部门组织提供渗透测试服务。从Bastion Secure的网站来看,这家网络安全公司正在寻求精通C++、Python、PHP的程序员,以及系统管理人员和逆向工程师等人才。该公司也在求职网站上,发布了征聘信息。

该团伙正在寻找管理员,以绘制出受威胁公司的网络,并定位包括备份在内的敏感数据。对目标组织的初始访问是通过网络钓鱼攻击或在暗网论坛上购买访问权限来获得的。一旦获得对目标网络的访问权限,威胁行为者就可以投放恶意软件和勒索软件。

Bastion Secure网站由俄罗斯域名注册商Beget托管,该域名注册商在俄罗斯网络犯罪社区很受欢迎。该网站的大多数子菜单返回一个俄语的HTTP 404错误,这表明该网站的创建者是讲俄语的人。目前一些HTTP 404错误仍未修复。

除了伪装成一个公司实体,黑客还采取了另一个步骤,让它看起来更真实,那就是该公司的一个办公室地址与一家现已倒闭的英国公司Bastion Security (North) Limited的地址相同。苹果Safari和谷歌Chrome等浏览器已经屏蔽了这个骗人的网站。

但消息人士指出,该公司在面试过程中,该组织就给了他数款测试用的工具,该组织通过分配给Bastion Secure的虚假渗透活动,提供了进入目标公司网络的权限,并同时表明正式录取后会在工作上用到。

而Gemini Advisory通过分析从消息人士取得的工具发现,它们实际上来自于黑客组织FIN7的工具包Carbanak与Lizar(亦称Tirion),这两个工具包之前都可用于破坏POS系统和部署勒索软件。

Bastion Secure提供的源代码文件包括一个名为“命令管理器”的软件组件的文件,实际上,这是Carbanak客户端组件的伪装版本。Gemini通过分析软件的功能确定了这一点,并得出结论,它是以前识别的Carbanak版本的更新版本。Carbanak命令管理器的主要功能是收集有关受感染计算机的信息并远程访问受感染计算机。这些文件包含一个模糊的PowerShell脚本,该脚本最终启动了Lizar/Tirion注入器和有效载荷。

Bastion Secure还要求雇佣的渗透测试人员进行侦察,收集用户和管理账户的凭证和备份等信息,并执行有关的攻击行动。

 

根据Bastion Secure所提供的薪资条件,这些录取的人员月薪约为800至1,200美元,而这对于当下后苏联国家的IT人员来说,是一个相当不错的薪资水平。相较于和其他参与攻击行动的黑客分赃,这样的攻击成本显得相当低廉。

虽然网络犯罪分子在合法的工作网站上寻找不知情的帮凶已经不是什么新鲜事了,但FIN7的规模和招数一直在超越其他网络犯罪组织。FIN7不仅在合法的求职网站上寻找不知情的受害者,还试图通过编造一个看似合法的网站、专业招聘广告、和公司信息页的俄语商业发展网站,来混淆自己作为一个多犯罪和勒索软件组织的真实身份。

天地和兴网络安全研究院认为,这样的攻击事件,突显了网络安全人员在求职时,需要多加留意公司的来历,以免不慎成为共犯;从上述薪资来看,该名消息人士很可能是急着找工作才应征FIN7的职位,此种现象突显出,网络安全人材若没有合适的环境发挥所长,也有可能会被犯罪组织吸收,而对社会带来威胁。

 

参考资料:

【1】https://thehackernews.com/2021/10/hackers-set-up-fake-company-to-get-it.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

【2】https://securityaffairs.co/wordpress/123673/cyber-crime/fin7-fake-cybersecurity-firm.html

【3】https://www.govinfosecurity.com/fin7-sets-up-fake-pentesting-company-site-to-recruit-talent-a-17783

【4】https://therecord.media/cybercrime-gang-sets-up-fake-company-to-hire-security-experts-to-aid-in-ransomware-attacks/

 

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号