黑客團伙假冒安全公司實施網絡攻擊

近日，安全公司Gemini Advisory報道，黑客組織FIN7假冒網絡安全公司向企業提供滲透測試“服務”來實施勒索軟件攻擊。FIN7，又名“Carbanak”，自2015年首次出現在網絡犯罪領域以來就一直參與網絡攻擊并竊取現金，包括用MITM中間人攻擊惡意軟件感染ATM提款機。

Gemini Advisory研究人員發現，由于勒索軟件已成為一個有利可圖的領域，并且FIN7之前有與“Combi Security”等虛假公司合作的經驗，因此該組織成立了一家名為Bastion Secure的“網絡安全公司”來招募合法的IT專家。據了解，FIN7每月為其提供800至1200美元，通過匿名渠道招募 C++、PHP 和 Python程序員、Windows系統管理員和逆向工程專家。

需要特別注意的是，根據Bastion Secure的崗位招聘要求，其真正想招募的其實是滲透測試人員，因為其要求系統管理員具備能夠繪制受感染公司系統、執行網絡偵察以及定位備份服務器和文件的技能（詳情見下圖），而所有這些技能都是勒索軟件攻擊實施加密前所必需具備的技能。

Gemini Advisory研究人員向Bastion Secure發送了一份求職申請并被聘用，研究人員發現其招聘過程非常典型，包括面試、簽訂合同和保密協議以及基本培訓。但是，在執行實際任務時，很明顯Bastion Secure正在尋找一些人來進行網絡犯罪活動。比如，他們為員工提供對企業網絡的訪問權限，并要求新員工收集與企業管理員帳戶、備份等相關的信息。

他們還為員工提供Carbanak和Lizar/Tirion這類著名的后開發工具，將其偽裝成“命令管理器”，開展滲透測試活動，然而，Bastion Secure并沒有提供開展這些滲透測試活動的任何法律文件，因此Gemini Advisory研究人員判斷其通過滲透測試方式侵害受害公司，并通過非法手段獲取訪問權限，實施勒索攻擊活動。

除此之外，Gemini Advisory研究人員還發現，Bastion Secure的企業網站包含從其他網站竊取和重新編譯的內容。更可疑的是，Bastion Secure的企業網站由某俄羅斯域名注冊商提供，而這是網絡罪犯慣用的方式之一。Gemini Advisory認為，之所以FIN7通過創建虛假的網絡安全公司來進行勒索攻擊，因為這比與要求瓜分70%-80%贖金的勒索軟件團伙合作要“劃算”，是一種利用廉價勞動力的“好辦法”。