出于经济动机的 FIN7 网络犯罪团伙伪装成另一家名为“Bastion Secure”的虚构网络安全公司,以渗透测试为幌子招募不知情的软件工程师,可能是勒索软件计划的前奏。
Recorded Future 的 Gemini 咨询部门在一份报告中说: “借助 FIN7 最新的假公司,犯罪集团利用来自各种合法网络安全公司的真实、公开可用的信息,为
Bastion Secure 创造了一层薄薄的合法性面纱。” “FIN7 正在采用虚假信息策略,以便如果潜在雇员或感兴趣的一方要对 Bastion Secure 进行事实检查,那么在谷歌上粗略搜索就会返回与 FIN7 的 Bastion Secure 名称或行业相似的公司的‘真实’信息。”
FIN7,也被称为Carbanak,碳蜘蛛和Anunak,有一个跟踪记录引人注目的餐厅,赌博和酒店业在美国感染点的销售终端(POS)系统的恶意软件旨在收获信用卡和借记卡号码然后在地下市场上使用或出售以获取利润。最新发展表明该集团已扩展到高利润的勒索软件领域。
设立虚假前台公司是 FIN7 的一个久经考验的公式,该公司之前曾与另一家名为Combi Security 的虚假网络安全公司有关,该公司声称向客户提供渗透测试服务。从这个角度来看,Bastion Secure 是这种策略的延续。
新网站不仅包含从其他合法网络安全公司(主要是 Convergent Network Solutions)编译的窃取内容,运营商还在流行的招聘公告板上为 C++、PHP 和 Python 程序员、系统管理员和逆向工程师宣传了看似真正的招聘机会,提供他们是面试过程中练习作业的几种工具。
对这些工具进行了分析,发现它们是后开发工具包Carbanak和Lizar /Tirion 的组件,这两个工具包之前都属于该组织,可用于破坏 POS 系统和部署勒索软件。
然而,在招聘过程的下一阶段,Bastion
Secure 参与犯罪活动变得明显,公司代表提供所谓的客户公司网络的访问权限,并要求潜在候选人收集有关域管理员、文件系统的信息和备份,表明强烈倾向于进行勒索软件攻击。
研究人员说:“Bastion
Secure 提供的 IT 专家职位的工作机会在每月 800 美元到 1,200 美元之间。” “然而,这个‘薪水’只是网络犯罪分子从成功的勒索软件勒索或大规模支付卡窃取活动中获得的犯罪利润的一小部分。”
通过支付“不知情的‘员工’远低于其为勒索软件计划支付的知情犯罪同伙,FIN7 的虚假公司计划使 FIN7 的运营商能够获得该集团开展犯罪活动所需的人才,同时保留更大份额的利润。
除了冒充一个公司实体外,演员还采取了一个额外的措施来证明其真实性,即公司的一个办公地址与一家现已倒闭的英国公司Bastion Security的办公地址相同(北)有限公司。此后,Apple
Safari 和 Google Chrome 等网络浏览器已阻止访问该欺骗性网站。
研究人员说:“虽然网络犯罪分子在合法工作网站上寻找不知情的同伙并不是什么新鲜事,但 FIN7 的规模和肆意妄为继续超越其他网络犯罪集团所表现出的行为,”并补充说,该集团“试图混淆其真实性”。通过在俄语业务开发网站上通过基本上合法的网站、专业职位发布和公司信息页面来创建虚假的网络存在,从而将其识别为一个多产的网络犯罪和勒索软件组织。”
Myasiacloud亚洲云海
网络安全防御专家---免备案CDN解决方案
亚太高防资源 无上限防御DDoS/CC攻击
全球优质节点 中国大陆全境加速 海外加速
详情访问https://www.myasiacloud.com/clouddf
商务联络TG:@myasiacloud66
评论
发表评论