不是教你诈:多名安全专家落入犯罪团伙圈套,协助实施勒索攻击
编译:代码卫士
今年年初,网络犯罪团伙FIN7创立了一个虚假公司并借此招聘安全研究员,诱骗他们参与勒索攻击。
这个虚假的公司名为 “Bastion Secure”,它声称为全球各地的私营企业和公共组织机构提供渗透测试服务。但Recorded Future 公司部门Genmini Advisory 调查发现,该公司是 FIN7 犯罪团伙的前哨,利用 Bastion Secure 网站在俄罗斯工作门户网站上发布广告,雇佣网络安全专家。招聘职位包括逆向工程师、系统管理员、C++程序员、Python 程序员和 PHP 程序员。
Gemini Advisory 团队派一名合作伙伴应聘成功后,调查发现求职者需要通过三个阶段的面试流程。
第一阶段包括HR代表进行的基础面试流程,主要通过 Telegram 进行。面试成功后,求职者被告知需要签订保密协议,安装多个虚拟器并打开某些端口来配置计算机。
第二阶段,求职者收到该公司发来的合法渗透测试安全工具,完成一系列测试任务。
第三阶段,求职者被带到“真正的”任务现场,被要求对 Bastion Secure 公司de 客户实施渗透测试。
Gemini Advisory 团队指出,面试流程的最后一步实际上并不包含在这类情况下本应具有的寡欲授权渗透测试的合法文档,也并没有向参与人员做出任何解释。
此外,Bastion Secure 公司的代表还告知求职者仅能使用不会被安全软件检测出的特定工具,并且在进入企业网络后要求检查备份和文件存储系统。
Bastion Secure 公司展现的工具和多款恶意软件有关,如Carbanak 和 Lizar/Tirion,而这些工具一直都被指是 FIN 7 犯罪团伙的武器库。另外,调查发现发给求职者的任务和操作“和准备实施勒索软件攻击的步骤匹配“。调查发现,这些攻击安装了勒索软件如 Ryuk 或 REvil,而这些最近也被指和FIN7 攻击有关。
微软研究员指出,FIN7 组织最近执行的攻击会部署 DarkSide 和 BlackMatter 勒索软件,而且微软公司也在追踪FIN7 设立的虚假公司。微软研究人员在 Mandiant 网络防御峰会上指出,FIN7组织不仅在攻击中部署 Darkside 勒索软件(之后被更名为 BlackMatter),而且还设法管理 Darkside RaaS (勒索软件即服务)本身。
不过这并非 FIN7 组织首次运营虚假的安全公司,它曾在2010年代中期就运营了虚假安全公司 Combi Security。
美国司法部提供的一份起诉书显示,当时,FIN7 犯罪组织主要是部署 Point-of-Sale 恶意软件,并通过 Combi Security 公司招聘渗透测试人员攻陷零售公司网络,并部署 PoS 恶意软件从被黑网络中收集支付卡详情。
为何犯罪团伙会一而再再而三地运营虚假的安全公司?答案很简单,和运营成本以及金钱有关。
实际上,招聘安全研究员的成本要比和其它黑客组织合作或通过地下论坛招聘黑客的成本低。
调查人员指出,俄罗斯安全研究员一个月的工资在800美元至1200美元之间。虽然犯罪分子仅可能得到百分之几的勒索款项,但在某些情况下可达到数百万美元之多。
就,突然想到从网上看到过的一张图片......
Malvuln:安全研究员创建的恶意软件漏洞库
因不满被拒,研究员公开 IBM 企业安全软件中的4个 0day
https://therecord.media/cybercrime-gang-sets-up-fake-company-to-hire-security-experts-to-aid-in-ransomware-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。