出于经济动机的 FIN7 网络犯罪团伙伪装成另一家名为 “Bastion Secure” 的虚构网络安全公司,以渗透测试为幌子招募不知情的软件工程师,可能是勒索软件计划的前奏。 Recorded Future 的 Gemini 咨询部门在一份报告中说: “ 借助 FIN7 最新的假公司,犯罪集团利用来自各种合法网络安全公司的真实、公开可用的信息,为 Bastion Secure 创造了一层薄薄的合法性面纱。 ” “FIN7 正在采用虚假信息策略,以便如果潜在雇员或感兴趣的一方要对 Bastion Secure 进行事实检查,那么在谷歌上粗略搜索就会返回与 FIN7 的 Bastion Secure 名称或行业相似的公司的 ‘ 真实 ’ 信息。 ” FIN7 ,也被称为 Carbanak ,碳蜘蛛和 Anunak ,有一个跟踪记录引人注目的餐厅,赌博和酒店业在美国感染点的销售终端( POS )系统的恶意软件旨在收获信用卡和借记卡号码然后在地下市场上使用或出售以获取利润。最新发展表明该集团已扩展到高利润的勒索软件领域。 设立虚假前台公司是 FIN7 的一个久经考验的公式,该公司之前曾与另一家名为 Combi Security 的虚假网络安全公司有关,该公司声称向客户提供渗透测试服务。从这个角度来看, Bastion Secure 是这种策略的延续。 新网站不仅包含从其他合法网络安全公司(主要是 Convergent Network Solutions )编译的窃取内容,运营商还在流行的招聘公告板上为 C++ 、 PHP 和 Python 程序员、系统管理员和逆向工程师宣传了看似真正的招聘机会,提供他们是面试过程中练习作业的几种工具。 对这些工具进行了分析,发现它们是后开发工具包 Carbanak 和 Lizar /Tirion 的组件,这两个工具包之前都属于该组织,可用于破坏 POS 系统和部署勒索软件。 然而,在招聘过程的下一阶段, Bastion Secure 参与犯罪活动变得明显,公司代表提供所谓的客户公司网络的访问权限,并要求潜在候选人收集有关域管理员、文件系统的信息和备份,表明强烈倾向于进行勒索软件攻击。 研究人员说:“ Bastion Sec