【安全资讯】FIN7组织伪装成安全公司,意图招募员工发起勒索攻击
引言
FIN7组织又名“Carbanak”,于2015年首次出现,是一个以经济收益为动机的威胁组织。研究人员发现,FIN7 黑客组织创建并运营了一家名为“Bastion Secure”的网络安全公司,招募不知情的 IT 专家,试图加入高利润的勒索软件领域。
简况
FIN7组织伪造的安全公司名为Bastion Secure,声称可以为世界各地的私营公司和公共部门组织提供渗透测试服务。Bastion Secure名称看起来类似于以下安全公司,这些公司在谷歌搜索结果中的排名比较靠前:
- Bastion Security Products Ltd : 最近被ECAMSECURE收购的美国物理安全公司
- Bastion Security Group:一家美国物理安全咨询公司
Bastion Secure网站乍一看是合法的,该网站很可能是合法网络安全公司Convergent Network Solutions Ltd.网站的副本。Bastion Secure网站(左)与Convergent Network Solutions Ltd.网站(右)的对比如下:
对 Bastion Secure 网站的初步分析显示,该网站的大多数子菜单返回俄语 HTTP 404 错误,表明网站创建者是讲俄语的人。为了招聘 IT 专家,Bastion Secure 在他们的网站和讲俄语国家的著名求职网站上发布看起来合法的工作机会,包括系统管理员,PHP、Python 和 C++ 程序员以及逆向工程师的招聘信息。FIN7通过这种方式培养能够执行执行一系列网络犯罪活动的“员工”。研究人员认为,Bastion Secure专门招聘系统管理员的目的可能是为了发起勒索攻击活动,因为系统管理员能够绘制受感染的公司系统、执行网络侦察以及定位备份服务器和文件,这些技能都是勒索软件攻击的预加密阶段所必需的。
研究人员向Bastion Secure发送了一份求职申请并被聘用,最终获得了使用内部工具的权限。这些工具是著名的后开发工具 Carbanak 和 Lizar/Tirion,伪装成Command Manager 控制面板,如下图:
这些文件包含一个经过混淆的 PowerShell 脚本,该脚本最终会启动 Lizar/Tirion 注入器和负载。恶意软件攻击者使用客户端向位于受感染机器上的加载程序发出命令的过程如下图:
总结
FIN7组织决定雇佣不知情的安全专家作为同伙,而不是在暗网上寻找自愿加入的黑客,可能是为了出于对金钱的贪婪。如果有自愿加入的同伙,FIN7需要被迫分享总额数百万美元的赎金支付的一部分,而对于不知情的“雇员”,FIN7只需要支付低至数千美元的月薪。