最近,一些安全研究人员发现,俄罗斯黑客组织 FIN7 再次处于经济动机之中,成立了自称 Bastion Secure 虚假公司引诱不知情的 IT 专家入伙。Recorded Future 旗下 Gemini 咨询部门的研究人员指出,FIN7 曾因入侵 PoS 窃取数百万张信用卡并非法牟利超 10 亿美元而震惊业界。但现在,它又声称自己能够为公共部门提供专业的网络安全服务。
虽然网站本体创建得很严肃,但研究发现 FIN7 利用现有合法网络安全公司的真实、公开和可用信息 —— 如电话号码、办公地点、从真实网站提取的文本 —— 伪装自己“合法性”。
比如 Bastion 网站声称它获得了 SC 杂志评选 2016“最佳托管安全服务”,此外,其咨询部门于2016年 Six Degrees 收购,但这两件事都是子虚乌有。
Recorded Future 经过深入分析发现,Bastion 网站的主要内容来自合法的网络安全公司 Convergent Network Solutions 从那里挑来的。
研究人员指出,该网站托管了俄罗斯域名注册商 ,这是网络犯罪分子经常使用的Beget 在提供的平台上,一些虚假网站的子菜单将返回俄语版本“找不到页面”推测幕后主使生活在俄语区的错误提示。
庆幸的是,截止发稿时,Google Chrome 和 Apple Safari 已经收入了“欺骗性站点”防止用户进一步访问黑名单。
与此同时,Bastion Secure 似乎真的很想招聘一些不知道真相的求职者,比如看似正规的程序员、系统管理员、逆向工程师等。
然而 Recorded Future 警告说,虚假公司只是以此为幌子,真正的目的是建立一个能够开展一系列网络犯罪活动的公司“员工”。