[[430529]]

近日，安全公司Gemini Advisory報(bào)道，黑客組織FIN7假冒網(wǎng)絡(luò)安全公司向企業(yè)提供滲透測(cè)試“服務(wù)”來(lái)實(shí)施勒索軟件攻擊。FIN7，又名“Carbanak”，自2015年首次出現(xiàn)在網(wǎng)絡(luò)犯罪領(lǐng)域以來(lái)就一直參與網(wǎng)絡(luò)攻擊并竊取現(xiàn)金，包括用MITM中間人攻擊惡意軟件感染ATM提款機(jī)。

Gemini Advisory研究人員發(fā)現(xiàn)，由于勒索軟件已成為一個(gè)有利可圖的領(lǐng)域，并且FIN7之前有與“Combi Security”等虛假公司合作的經(jīng)驗(yàn)，因此該組織成立了一家名為Bastion Secure的“網(wǎng)絡(luò)安全公司”來(lái)招募合法的IT專(zhuān)家。據(jù)了解，F(xiàn)IN7每月為其提供800至1200美元，通過(guò)匿名渠道招募 C++、PHP 和 Python程序員、Windows系統(tǒng)管理員和逆向工程專(zhuān)家。

需要特別注意的是，根據(jù)Bastion Secure的崗位招聘要求，其真正想招募的其實(shí)是滲透測(cè)試人員，因?yàn)槠湟笙到y(tǒng)管理員具備能夠繪制受感染公司系統(tǒng)、執(zhí)行網(wǎng)絡(luò)偵察以及定位備份服務(wù)器和文件的技能(詳情見(jiàn)下圖)，而所有這些技能都是勒索軟件攻擊實(shí)施加密前所必需具備的技能。

Gemini Advisory研究人員向Bastion Secure發(fā)送了一份求職申請(qǐng)并被聘用，研究人員發(fā)現(xiàn)其招聘過(guò)程非常典型，包括面試、簽訂合同和保密協(xié)議以及基本培訓(xùn)。但是，在執(zhí)行實(shí)際任務(wù)時(shí)，很明顯Bastion Secure正在尋找一些人來(lái)進(jìn)行網(wǎng)絡(luò)犯罪活動(dòng)。比如，他們?yōu)閱T工提供對(duì)企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，并要求新員工收集與企業(yè)管理員帳戶、備份等相關(guān)的信息。

他們還為員工提供Carbanak和Lizar/Tirion這類(lèi)著名的后開(kāi)發(fā)工具，將其偽裝成“命令管理器”，開(kāi)展?jié)B透測(cè)試活動(dòng)，然而，Bastion Secure并沒(méi)有提供開(kāi)展這些滲透測(cè)試活動(dòng)的任何法律文件，因此Gemini Advisory研究人員判斷其通過(guò)滲透測(cè)試方式侵害受害公司，并通過(guò)非法手段獲取訪問(wèn)權(quán)限，實(shí)施勒索攻擊活動(dòng)。

除此之外，Gemini Advisory研究人員還發(fā)現(xiàn)，Bastion Secure的企業(yè)網(wǎng)站包含從其他網(wǎng)站竊取和重新編譯的內(nèi)容。更可疑的是，Bastion Secure的企業(yè)網(wǎng)站由某俄羅斯域名注冊(cè)商提供，而這是網(wǎng)絡(luò)罪犯慣用的方式之一。Gemini Advisory認(rèn)為，之所以FIN7通過(guò)創(chuàng)建虛假的網(wǎng)絡(luò)安全公司來(lái)進(jìn)行勒索攻擊，因?yàn)檫@比與要求瓜分70%-80%贖金的勒索軟件團(tuán)伙合作要“劃算”，是一種利用廉價(jià)勞動(dòng)力的“好辦法”。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文