最近,安全公司Gemini Advisory黑客组织报道FIN7假冒网络安全公司向企业提供渗透测试“服务”实施勒索软件攻击。FIN7,又名“Carbanak”,自2015年首次出现在网络犯罪领域以来就一直参与网络攻击并窃取现金,包括用MITM中间人攻击恶意软件感染ATM提款机。
Gemini Advisory研究人员发现,勒索软件已经成为一个有利可图的领域,FIN7之前有与“Combi Security”该组织成立了一家名为虚假公司合作经验的公司Bastion Secure的“网络安全公司”招合法的IT专家。据了解,FIN7通过匿名渠道每月招募800至1200美元C 、PHP 和 Python程序员、Windows系统管理员和逆向工程专家。
需要特别注意的是,根据Bastion Secure职位招聘要求,真正想招聘的是渗透测试人员,因为它要求系统管理员具备绘制感染公司系统、执行网络侦察和定位备份服务器和文件的技能(详见下图),所有这些技能都是勒索软件攻击加密前必要的技能。
Gemini Advisory研究人员向Bastion Secure研究人员发送了一份求职申请,发现招聘过程非常典型,包括面试、签订合同、保密协议和基础培训。然而,在执行实际任务时,很明显Bastion Secure正在寻找一些人来进行网络犯罪活动。比如,他们为员工提供对企业网络的访问权限,并要求新员工收集与企业管理员帐户、备份等相关的信息。
他们还为员工提供服务Carbanak和Lizar/Tirion这种著名的后开发工具伪装成“命令管理器”,但是,Bastion Secure这些渗透测试活动没有提供任何法律文件,因此Gemini Advisory研究人员判断他们通过渗透测试侵犯了受害者,并通过非法手段获得了访问权,并进行了勒索攻击。
除此之外,Gemini Advisory研究人员还发现,Bastion Secure企业网站包括从其他网站窃取和重新编译的内容。更可疑的是,Bastion Secure企业网站由俄罗斯域名注册商提供,这是网络罪犯常用的方式之一。Gemini Advisory想,原因FIN7勒索攻击是通过创建虚假的网络安全公司来进行的,因为它比要求分割70%-80%赎金的勒索软件团伙合作要“划算”,廉价劳动力的使用是一种“好办法”。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章