近日有安全研究人員發(fā)現(xiàn),俄羅斯黑客組織 FIN7 再次處于經(jīng)濟動機,而設(shè)立了一家自稱 Bastion Secure 的虛假公司,以引誘不知情的 IT 專家入伙。Recorded Future 旗下 Gemini 咨詢部門的研究人員指出,F(xiàn)IN7 曾因入侵 PoS 竊取數(shù)百萬張信用卡并非法牟利超 10 億美元而震驚業(yè)界。但現(xiàn)在,它又聲稱自己能夠為公共部門提供專業(yè)的網(wǎng)絡(luò)安全服務(wù)。
雖然網(wǎng)站本體創(chuàng)建得煞有介事,但研究發(fā)現(xiàn) FIN7 正是利用了來自現(xiàn)有合法網(wǎng)絡(luò)安全公司的真實、公開可用的信息 —— 比如電話號碼、辦公地點、以及從真實網(wǎng)站上提取的文本 —— 來偽裝自身的“合法性”。
比如 Bastion 網(wǎng)站聲稱其獲得了 SC 雜志評選的 2016“最佳托管安全服務(wù)”,且旗下咨詢部門于 2016 年被 Six Degrees 所收購,但這兩件事都是子虛烏有。
Recorded Future 深入分析后發(fā)現(xiàn),Bastion 網(wǎng)站的主要內(nèi)容,都是從合法網(wǎng)絡(luò)安全公司 Convergent Network Solutions 那里扒來的。
研究人員指出,該網(wǎng)站托管在網(wǎng)絡(luò)犯罪分子經(jīng)常使用的俄羅斯域名注冊商 Beget 提供的平臺上,且虛假網(wǎng)站的某些子菜單會返回俄語版本的“找不到頁面”錯誤提示,推測幕后主使生活在俄語區(qū)。
慶幸的是,截止發(fā)稿時,Google Chrome 和 Apple Safari 都已將其收入“欺騙性站點”黑名單,以阻止用戶的進一步訪問。
與此同時,Bastion Secure 似乎確實想要為某些崗位招募到一些不明真相的求職者,比如看似正規(guī)的程序員、系統(tǒng)管理員、逆向工程師等。
然而 Recorded Future 警告稱,該虛假公司只是以此為幌子,真實目的是建立一支能夠開展一系列網(wǎng)絡(luò)犯罪活動的“員工”。
【來源:希恩貝塔】
