概述

"Fxmsp"是一個俄語和英語國家的黑客組織。專長是進(jìn)入高度機(jī)密的網(wǎng)絡(luò)以訪問私密企業(yè)和政府信息。

該組織過去就以來自政府和企業(yè)的敏感信息而出名。

2019年3月，F(xiàn)xmsp稱可以提供來自美國的三大反病毒企業(yè)的機(jī)密信息，其確認(rèn)他們擁有這三大公司軟件開發(fā)相關(guān)的源代碼。提供不同服務(wù)方式，定價超過30萬美元。

背景

Fxmsp是一個黑客團(tuán)體，從2017年開始活躍在俄語和英語的地下市場論壇。該組織主要進(jìn)入世界各地的政府和企業(yè)網(wǎng)絡(luò)以竊取機(jī)密信息。

圖1: Fxmsp提供對某酒店鏈的訪問，2018年4月5日

TTP

從2017年到2018年，F(xiàn)xmsp建立了一個可信代理網(wǎng)絡(luò)來擴(kuò)大其犯罪市場。已知的Fxmsp TTP包括通過外部RDP服務(wù)器和暴露的活動目錄來訪問網(wǎng)絡(luò)環(huán)境。

最近，F(xiàn)xmsp稱他們建立了一個憑證竊取僵尸網(wǎng)絡(luò)可以感染高價值目標(biāo)以竊取用戶名和口令，建立該僵尸網(wǎng)絡(luò)、改善其從安全系統(tǒng)中竊取信息的能力是他們的目標(biāo)。

非法進(jìn)入美國3大反病毒公司

2019年4月24日，F(xiàn)xmsp稱成功訪問美國3大反病毒公司的內(nèi)部網(wǎng)絡(luò)，并提取了屬于這三大公司的反病毒軟件、AI和安全插件的敏感源代碼信息。Fxmsp也對不同公司軟件的能力和效率進(jìn)行了評定。

圖3: Fxmsp稱竊取的源代碼保存在debug信息中

該組織提供一些特定的線索來證明他們成功竊取了信息，通過這些信息可以推斷出這幾家公司的名字。Fxmsp的截圖顯示售出30TB的數(shù)據(jù)，據(jù)稱都是從這三家公司的網(wǎng)絡(luò)中竊取的。文件夾中含有公司的開發(fā)文檔、人工智能模型、web安全軟件和反病毒軟件庫代碼的信息。

動機(jī)分析

非法進(jìn)入反病毒公司看似是Fxmsp最近活動的主要目標(biāo)。Fxmps稱非法進(jìn)入反病毒軟件公司是他們過去6個月來的主要項目，在這段時間他們在地下論壇是靜默的。根據(jù)在地下論壇的活動顯示他們從2018年10月到2019年4月在地下論壇消失了。

與Fxmsp Moniker的關(guān)聯(lián)

根據(jù)俄羅斯黑客組織ShadowRunTeam的分析，F(xiàn)xmsp是一個莫斯科居民，名為Andrey，大約是20世紀(jì)中期開始參與網(wǎng)絡(luò)犯罪活動的，擅長社會工程。AdvIntel研究人員分析Fxmsp售出企業(yè)機(jī)密信息獲利近100萬美元。

建議

• 監(jiān)控和檢查外部暴露的RDP服務(wù)器和AD的網(wǎng)絡(luò)邊界，以減少威脅面；
• 使用魯棒的補(bǔ)丁，監(jiān)控魚叉式釣魚郵件信息也可以幫助識別與Fxmsp新向量環(huán)境的信息；
• 將敏感源碼開發(fā)環(huán)境與主網(wǎng)絡(luò)進(jìn)行內(nèi)部隔離，可以防止將知識產(chǎn)權(quán)信息從內(nèi)網(wǎng)中竊取。