黑客组织设立虚假网安公司，招募渗透测试人员：以渗透测试之名行网络攻击之实

FIN7黑客组织正通过设立虚假的网络安全公司，以渗透测试之名行网络攻击之实，企图加入利润丰厚的勒索软件行当。

FIN7（又名“Carbanak”）自2015年首次在网络犯罪领域露面以来，就一直参与网络攻击和窃取钱财的活动，包括使用支持中间人攻击（MITM）的恶意软件感染自动柜员机（ATM）。

由于勒索软件已成为网络犯罪分子们眼里有利可图的行当，FIN7之前有过先例，设立过像“Combi Security”这类虚假的掩护公司，如今该组织设立了一家新的公司，以招募合法的IT专家。

Gemini Advisory的研究人员近日揭开了这家新的公司实体的真实面目，他们发现一家名为Bastion Security的虚假网络安全公司的网站含有从其他网站窃取和重新编译的内容。

更能说明问题的是，该公司声称公司总部设在英国，但是网站提供俄文版的404出错页面。

Bastion Secure网站

Bastion Secure的“关于”页面还声称它是从合法的网络安全公司Convergent Network Solutions Ltd拆分出来的公司。

IT安全外媒BleepingComputer于是联系了Convergent Network Solutions，以核实对方是否知道该网站，但没有收到回复。

Gemini的研究人员发现，FIN7开出每月800美元到1200美元的条件，通过匿名渠道招募C++、PHP及Python程序员、Windows系统管理员以及逆向工程专家。

研究人员看到工作要求后认为，这个黑客组织实际上在招募渗透测试人员，因为系统管理员还需要能够绘制受感染的公司系统、执行网络侦察任务以及定位备份服务器和文件。

Bastion Secure网站上的职位列表

所有这些技能都是实施勒索软件攻击的预加密阶段所必需的功能，因此看来这是FIN7通过这些招募活动所物色的人选。

研究人员申请工作

Gemini的研究人员以求职者的身份向Bastion Secure发送了求职申请，结果被聘用了，因此最终可以使用内部工具。

这些工具是臭名昭著的后漏洞利用（post-exploitation）工具Carbanak和Lizar/Tirion，它们被伪装成了“命令管理器”。

“命令管理器”的仪表板

正因为如此，尽管其中一些工具的源代码在两年前就公开泄露了，但还是有相当充分的证据表明这可以追溯至FIN7。

分析后发现，Carbanak的样本似乎经过更新，因此别人使用该泄露的工具对其进一步做手脚的可能性很小。

另一个证据是，软件据称已授权给著名的以色列安全公司“CheckPoint Software Inc”，FIN7在最近的其他攻击中冒充是这家公司。

招募过程非常典型，涉及面试、签订合同和保密协议以及基本培训。

然而执行实际任务时，很显然Bastion Secure在寻找执行网络犯罪活动的人员。

他们提供了访问公司网络的手段，冒充客户订购渗透测试服务，并要求新员工收集与管理员帐户和备份等密切相关的信息。

然而，FIN7没有为这种渗透测试活动提供任何法律文件，因此Gemini的研究人员意识到他们可能潜伏在中招公司的内部，使用通过非法手段获得的访问权限。

通过设立虚假的网络安全公司来进行攻击，Gemini认为这是企图招募廉价劳动力的行径，而不是与要求关联公司合作，关联公司在支付的任何赎金中索取比例高得多的分成：70%至80%。