近日有安全研究人員發(fā)現(xiàn)，俄羅斯黑客組織 FIN7 再次處于經(jīng)濟(jì)動(dòng)機(jī)，而設(shè)立了一家自稱(chēng) Bastion Secure 的虛假公司，以引誘不知情的 IT 專(zhuān)家入伙。Recorded Future 旗下 Gemini 咨詢(xún)部門(mén)的研究人員指出，F(xiàn)IN7 曾因入侵 PoS 竊取數(shù)百萬(wàn)張信用卡并非法牟利超 10 億美元而震驚業(yè)界。但現(xiàn)在，它又聲稱(chēng)自己能夠?yàn)楣膊块T(mén)提供專(zhuān)業(yè)的網(wǎng)絡(luò)安全服務(wù)。

雖然網(wǎng)站本體創(chuàng)建得煞有介事，但研究發(fā)現(xiàn) FIN7 正是利用了來(lái)自現(xiàn)有合法網(wǎng)絡(luò)安全公司的真實(shí)、公開(kāi)可用的信息 —— 比如電話號(hào)碼、辦公地點(diǎn)、以及從真實(shí)網(wǎng)站上提取的文本 —— 來(lái)偽裝自身的“合法性”。

比如 Bastion 網(wǎng)站聲稱(chēng)其獲得了 SC 雜志評(píng)選的 2016“最佳托管安全服務(wù)”，且旗下咨詢(xún)部門(mén)于 2016 年被 Six Degrees 所收購(gòu)，但這兩件事都是子虛烏有。

Recorded Future 深入分析后發(fā)現(xiàn)，Bastion 網(wǎng)站的主要內(nèi)容，都是從合法網(wǎng)絡(luò)安全公司 Convergent Network Solutions 那里扒來(lái)的。

研究人員指出，該網(wǎng)站托管在網(wǎng)絡(luò)犯罪分子經(jīng)常使用的俄羅斯域名注冊(cè)商 Beget 提供的平臺(tái)上，且虛假網(wǎng)站的某些子菜單會(huì)返回俄語(yǔ)版本的“找不到頁(yè)面”錯(cuò)誤提示，推測(cè)幕后主使生活在俄語(yǔ)區(qū)。

慶幸的是，截止發(fā)稿時(shí)，Google Chrome 和 Apple Safari 都已將其收入“欺騙性站點(diǎn)”黑名單，以阻止用戶的進(jìn)一步訪問(wèn)。

與此同時(shí)，Bastion Secure 似乎確實(shí)想要為某些崗位招募到一些不明真相的求職者，比如看似正規(guī)的程序員、系統(tǒng)管理員、逆向工程師等。

然而 Recorded Future 警告稱(chēng)，該虛假公司只是以此為幌子，真實(shí)目的是建立一支能夠開(kāi)展一系列網(wǎng)絡(luò)犯罪活動(dòng)的“員工”。