【導語】黑客設立假的網絡安全公司，打算雇傭IT人才來進行網絡攻擊，然后在背后坐享其成！Gemini Advisory的研究人員揭露了俄羅斯黑客組織FIN7的勒索軟件攻擊行動，他們通過成立假的網絡安全公司Bastion Secure來找尋幫手。

FIN7黑客組織正試圖進入勒索軟件行業，并且使用了一種有趣的技術。該團伙創建了虛假的網絡安全公司Bastion Secure，聘請網絡安全專家，并要求他們以滲透測試活動為幌子進行勒索軟件攻擊。

FIN7是一個俄羅斯犯罪集團，自2015年年中以來一直活躍，主要目標針對美國的餐館、賭博和酒店業，以獲取用于攻擊或在網絡犯罪市場出售的金融信息。

這起攻擊行動究竟是如何被發現的？網絡犯罪組織以這一目的成立的公司之一是Combi Security，但Gemini Advisory的研究人員分析了另一家假冒網絡安全公司Bastion Security的網站，發現了其他類似的公司。該公司名為Bastion Secure，聲稱為世界各地的私營公司和公共部門組織提供滲透測試服務。從Bastion Secure的網站來看，這家網絡安全公司正在尋求精通C++、Python、PHP的程序員，以及系統管理人員和逆向工程師等人才。該公司也在求職網站上，發布了征聘信息。

該團伙正在尋找管理員，以繪制出受威脅公司的網絡，并定位包括備份在內的敏感數據。對目標組織的初始訪問是通過網絡釣魚攻擊或在暗網論壇上購買訪問權限來獲得的。一旦獲得對目標網絡的訪問權限，威脅行為者就可以投放惡意軟件和勒索軟件。

Bastion Secure網站由俄羅斯域名注冊商Beget托管，該域名注冊商在俄羅斯網絡犯罪社區很受歡迎。該網站的大多數子菜單返回一個俄語的HTTP 404錯誤，這表明該網站的創建者是講俄語的人。目前一些HTTP 404錯誤仍未修復。

除了偽裝成一個公司實體，黑客還采取了另一個步驟，讓它看起來更真實，那就是該公司的一個辦公室地址與一家現已倒閉的英國公司Bastion Security (North) Limited的地址相同。蘋果Safari和谷歌Chrome等瀏覽器已經屏蔽了這個騙人的網站。

但消息人士指出，該公司在面試過程中，該組織就給了他數款測試用的工具，該組織通過分配給Bastion Secure的虛假滲透活動，提供了進入目標公司網絡的權限，并同時表明正式錄取后會在工作上用到。

而Gemini Advisory通過分析從消息人士取得的工具發現，它們實際上來自于黑客組織FIN7的工具包Carbanak與Lizar（亦稱Tirion），這兩個工具包之前都可用于破壞POS系統和部署勒索軟件。

Bastion Secure提供的源代碼文件包括一個名為“命令管理器”的軟件組件的文件，實際上，這是Carbanak客戶端組件的偽裝版本。Gemini通過分析軟件的功能確定了這一點，并得出結論，它是以前識別的Carbanak版本的更新版本。Carbanak命令管理器的主要功能是收集有關受感染計算機的信息并遠程訪問受感染計算機。這些文件包含一個模糊的PowerShell腳本，該腳本最終啟動了Lizar/Tirion注入器和有效載荷。

Bastion Secure還要求雇傭的滲透測試人員進行偵察，收集用戶和管理賬戶的憑證和備份等信息，并執行有關的攻擊行動。

根據Bastion Secure所提供的薪資條件，這些錄取的人員月薪約為800至1,200美元，而這對于當下后蘇聯國家的IT人員來說，是一個相當不錯的薪資水平。相較于和其他參與攻擊行動的黑客分贓，這樣的攻擊成本顯得相當低廉。

雖然網絡犯罪分子在合法的工作網站上尋找不知情的幫兇已經不是什么新鮮事了，但FIN7的規模和招數一直在超越其他網絡犯罪組織。FIN7不僅在合法的求職網站上尋找不知情的受害者，還試圖通過編造一個看似合法的網站、專業招聘廣告、和公司信息頁的俄語商業發展網站，來混淆自己作為一個多犯罪和勒索軟件組織的真實身份。

天地和興網絡安全研究院認為，這樣的攻擊事件，突顯了網絡安全人員在求職時，需要多加留意公司的來歷，以免不慎成為共犯；從上述薪資來看，該名消息人士很可能是急著找工作才應征FIN7的職位，此種現象突顯出，網絡安全人材若沒有合適的環境發揮所長，也有可能會被犯罪組織吸收，而對社會帶來威脅。

參考資料：

【1】https://thehackernews.com/2021/10/hackers-set-up-fake-company-to-get-it.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Cyber+Security+Blog%29

【2】https://securityaffairs.co/wordpress/123673/cyber-crime/fin7-fake-cybersecurity-firm.html

【3】https://www.govinfosecurity.com/fin7-sets-up-fake-pentesting-company-site-to-recruit-talent-a-17783

【4】https://therecord.media/cybercrime-gang-sets-up-fake-company-to-hire-security-experts-to-aid-in-ransomware-attacks/