FIN7黑客组织正通过设立虚假的网络安全公司,以渗透测试之名行网络攻击之实,企图加入利润丰厚的勒索软件行当。
FIN7(又名“Carbanak”)自2015年首次在网络犯罪领域露面以来,就一直参与网络攻击和窃取钱财的活动,包括使用支持中间人攻击(MITM)的恶意软件感染自动柜员机(ATM)。
由于勒索软件已成为网络犯罪分子们眼里有利可图的行当,FIN7之前有过先例,设立过像“Combi Security”这类虚假的掩护公司,如今该组织设立了一家新的公司,以招募合法的IT专家。
Gemini Advisory的研究人员近日揭开了这家新的公司实体的真实面目,他们发现一家名为Bastion Security的虚假网络安全公司的网站含有从其他网站窃取和重新编译的内容。
更能说明问题的是,该公司声称公司总部设在英国,但是网站提供俄文版的404出错页面。
Bastion Secure网站
Bastion Secure的“关于”页面还声称它是从合法的网络安全公司Convergent Network Solutions Ltd拆分出来的公司。
IT安全外媒BleepingComputer于是联系了Convergent Network Solutions,以核实对方是否知道该网站,但没有收到回复。
Gemini的研究人员发现,FIN7开出每月800美元到1200美元的条件,通过匿名渠道招募C 、PHP及Python程序员、Windows系统管理员以及逆向工程专家。
研究人员看到工作要求后认为,这个黑客组织实际上在招募渗透测试人员,因为系统管理员还需要能够绘制受感染的公司系统、执行网络侦察任务以及定位备份服务器和文件。
Bastion Secure网站上的职位列表
所有这些技能都是实施勒索软件攻击的预加密阶段所必需的功能,因此看来这是FIN7通过这些招募活动所物色的人选。
研究人员申请工作
Gemini的研究人员以求职者的身份向Bastion Secure发送了求职申请,结果被聘用了,因此最终可以使用内部工具。
这些工具是臭名昭著的后漏洞利用(post-exploitation)工具Carbanak和Lizar/Tirion,它们被伪装成了“命令管理器”。
“命令管理器”的仪表板
正因为如此,尽管其中一些工具的源代码在两年前就公开泄露了,但还是有相当充分的证据表明这可以追溯至FIN7。
分析后发现,Carbanak的样本似乎经过更新,因此别人使用该泄露的工具对其进一步做手脚的可能性很小。
另一个证据是,软件据称已授权给著名的以色列安全公司“CheckPoint Software Inc”,FIN7在最近的其他攻击中冒充是这家公司。
招募过程非常典型,涉及面试、签订合同和保密协议以及基本培训。
然而执行实际任务时,很显然Bastion Secure在寻找执行网络犯罪活动的人员。
他们提供了访问公司网络的手段,冒充客户订购渗透测试服务,并要求新员工收集与管理员帐户和备份等密切相关的信息。
然而,FIN7没有为这种渗透测试活动提供任何法律文件,因此Gemini的研究人员意识到他们可能潜伏在中招公司的内部,使用通过非法手段获得的访问权限。
通过设立虚假的网络安全公司来进行攻击,Gemini认为这是企图招募廉价劳动力的行径,而不是与要求关联公司合作,关联公司在支付的任何赎金中索取比例高得多的分成:70%至80%。
