近日,安全公司GeminiAdvisory报道称,黑客组织FIN7冒充网络安全公司向企业提供渗透测试“服务”,对企业进行勒索软件攻击。FIN7,又名“Carbanak”,自2015年首次出现在网络犯罪现场以来,一直参与网络攻击和窃取现金,包括使用MITM中间人恶意软件感染ATM。GeminiAdvisory的研究人员发现,由于勒索软件已经成为一个有利可图的领域,并且FIN7之前有与“CombiSecurity”等假冒公司合作的经验,因此该组织成立了一家名为BastionSecure的“网络安全公司”,并招募合法的IT专家。据了解,FIN7每月提供800到1200美元,通过匿名渠道招聘C++、PHP和Python程序员、Windows系统管理员和逆向工程专家。需要注意的是,根据BastionSecure的职位发布,它真正寻找的是渗透测试人员,因为它需要系统管理员具备映射受感染的公司系统、执行网络侦察以及定位备份服务器和文件的技能(参见详情见下图),所有这些技能都是勒索软件攻击实施加密所必需的。GeminiAdvisory研究人员向BastionSecure发送了工作申请并被录用。研究人员发现招聘过程非常典型,包括面试、签订合同和保密协议以及基础培训。然而,当涉及到实际任务时,很明显BastionSecure正在寻找执行网络犯罪活动的人。例如,他们为员工提供访问公司网络的权限,并要求新员工收集与公司管理员帐户、备份等相关的信息。他们还为员工提供Carbanak和Lizar/Tirion等著名的后开发工具,伪装成“命令管理器”进行渗透测试活动。但是,BastionSecure没有提供任何进行这些渗透测试活动的法律文件。因此,GeminiAdvisory研究人员判断其通过渗透测试侵犯受害公司,通过非法手段获取访问权限,进行勒索攻击。除此之外,GeminiAdvisory研究人员还发现BastionSecure的公司网站包含从其他网站窃取和重新编译的内容。更值得怀疑的是,BastionSecure的企业网站由一家俄罗斯域名注册商提供,这是网络犯罪分子经常使用的方式之一。GeminiAdvisory认为,FIN7之所以通过创建虚假网络安全公司进行勒索攻击,是因为比起与要求分享70%-80%赎金的勒索软件团伙合作“划算”,是一个“不错的选择”。方式”使用廉价劳动力。方法》。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
