出於經濟動機的 FIN7 網路犯罪團夥偽裝成另一家名為“Bastion Secure”的虛構網路安全公司,以滲透測試為幌子招募不知情的軟體工程師,可能是勒索軟體計畫的前奏。
Recorded Future 的 Gemini 諮詢部門在一份報告中說: “借助 FIN7 最新的假公司,犯罪集團利用來自各種合法網路安全公司的真實、公開可用的資訊,為 Bastion Secure 創造了一層薄薄的合法性面紗。” “FIN7 正在採用虛假資訊策略,以便如果潛在雇員或感興趣的一方要對 Bastion Secure 進行事實檢查,那麼在穀歌上粗略搜索就會返回與 FIN7 的 Bastion Secure 名稱或行業相似的公司的‘真實’信息。”
FIN7,也被稱為Carbanak,碳蜘蛛和Anunak,有一個跟蹤記錄引人注目的餐廳,賭博和酒店業在美國感染點的銷售終端(POS)系統的惡意軟體旨在收穫信用卡和借記卡號碼然後在地下市場上使用或出售以獲取利潤。最新發展表明該集團已擴展到高利潤的勒索軟體領域。
設立虛假前臺公司是 FIN7 的一個久經考驗的公式,該公司之前曾與另一家名為Combi Security 的虛假網路安全公司有關,該公司聲稱向客戶提供滲透測試服務。從這個角度來看,Bastion Secure 是這種策略的延續。
新網站不僅包含從其他合法網路安全公司(主要是 Convergent Network Solutions)編譯的竊取內容,運營商還在流行的招聘公告板上為 C++、PHP 和 Python 程式師、系統管理員和逆向工程師宣傳了看似真正的招聘機會,提供他們是面試過程中練習作業的幾種工具。
對這些工具進行了分析,發現它們是後開發套件Carbanak和Lizar /Tirion 的元件,這兩個工具包之前都屬於該組織,可用於破壞 POS 系統和部署勒索軟體。
然而,在招聘過程的下一階段,Bastion Secure 參與犯罪活動變得明顯,公司代表提供所謂的客戶公司網路的存取權限,並要求潛在候選人收集有關域管理員、檔案系統的資訊和備份,表明強烈傾向於進行勒索軟體攻擊。
研究人員說:“Bastion Secure 提供的 IT 專家職位的工作機會在每月 800 美元到 1,200 美元之間。” “然而,這個‘薪水’只是網路犯罪分子從成功的勒索軟體勒索或大規模支付卡竊取活動中獲得的犯罪利潤的一小部分。”
通過支付“不知情的‘員工’遠低於其為勒索軟體計畫支付的知情犯罪同夥,FIN7 的虛假公司計畫使 FIN7 的運營商能夠獲得該集團開展犯罪活動所需的人才,同時保留更大份額的利潤。
除了冒充一個公司實體外,演員還採取了一個額外的措施來證明其真實性,即公司的一個辦公位址與一家現已倒閉的英國公司Bastion Security的辦公地址相同(北)有限公司。此後,Apple Safari 和 Google Chrome 等網路流覽器已阻止訪問該欺騙性網站。
研究人員說:“雖然網路犯罪分子在合法工作網站上尋找不知情的同夥並不是什麼新鮮事,但 FIN7 的規模和肆意妄為繼續超越其他網路犯罪集團所表現出的行為,”並補充說,該集團“試圖混淆其真實性”。通過在俄語業務開發網站上通過基本上合法的網站、專業職位發佈和公司資訊頁面來創建虛假的網路存在,從而將其識別為一個多產的網路犯罪和勒索軟體組織。”